ClickCease Vulnérabilité de MS Excel exploitée pour distribuer l'agent Tesla

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Vulnérabilité de MS Excel exploitée pour distribuer l'agent Tesla

Wajahat Raja

Le 1er janvier 2024 - L'équipe d'experts de TuxCare

Des acteurs malveillants exploitent désormais une ancienne vulnérabilité de vulnérabilité de MS Excel dans le cadre de leur campagne d'hameçonnage. L'objectif de ces exploits est de diffuser un logiciel malveillant voleur d'informations appelé Agent Tesla.

Selon des rapports récents, une vulnérabilité de corruption de la mémoire est utilisée comme partie active d'exploits dans le but d'obtenir des privilèges d'exécution de code. Dans cet article, nous allons nous plonger dans tous les détails de l'attaque, afin de vous aider à protéger vos systèmes.

 

Vulnérabilité de MS Excel : Détails de l'exploitation 

Des rapports récents ont mis en lumière le fait que les chaînes infectieuses utilisent de faux documents Excel. Ces documents sont joints à des messages sur le thème des factures et à des cibles potentielles. Lorsqu'une cible potentielle ouvre ces documents malveillants, la CVE-2017-11882 est activée.

Il convient de préciser qu'il s'agit d'une vulnérabilité critique avec un score de gravité de 7,8. La vulnérabilité relative à l'éditeur d'équations de Microsoft Office peut permettre l'exécution de code à distance à distance à des acteurs malveillants. En outre, elle permet à ces derniers de disposer des privilèges de l'utilisateur qui a ouvert le fichier malveillant.

À la lumière de ce qui précède, on peut affirmer que s'ils disposent de privilèges administratifs, ceux-ci pourraient être acquis et utilisés par des acteurs de la menace s'ils parviennent à les exploiter. Ces privilèges leur permettraient d'étendre leur surface d'attaque et de maximiser les dommages en installant des programmes malveillants, en modifiant ou en volant des données, ou en créant de nouveaux comptes.

Les détails de ces rapports ont été révélés par Zscaler ThreatLabz. Faisant part de ses réflexions sur le sujet, Kaivalya Khursale, chercheur en sécurité, a déclaré Kaivalya Khursale, chercheur en sécurité, a déclaré que "Lorsqu'un utilisateur télécharge une pièce jointe malveillante et l'ouvre, si sa version de Microsoft Excel est vulnérable, le fichier Excel établit une communication avec une destination malveillante et télécharge d'autres fichiers sans nécessiter d'autre interaction de la part de l'utilisateur.


Vulnérabilités de Microsoft Office : La charge utile


Dès que le fichier est ouvert, les protocoles d'exploitation de la vulnérabilité sont activés. Une fois que la
MS Excel est exploitée, le fichier lance des protocoles de communication. L'objectif de ces protocoles est de télécharger une série de fichiers utilisés pour livrer la charge utile finale. Il convient de mentionner ici que la première charge utile téléchargée est un script Visual Basic obscurci.

En ce qui concerne les exploits malveillants le script Visual Basic est ensuite utilisé pour télécharger un fichier JPG contenant un fichier DLL codé en Base64. Ceux qui veulent protéger leurs systèmes contre les les risques liés à la sécurité des données et les cyberattaques contre les feuilles de calcul doivent savoir que le fichier DLL est ensuite injecté dans RegAsm.exe.

L'outil lit essentiellement les métadonnées qu'il contient et ajoute les entrées nécessaires au registre. Cela permet de créer des cadres de classification .NET de manière transparente. 


Les origines de l'agent Tesla


Agent Tesla est un keylogger avancé et un cheval de Troie d'accès à distance (RAT) basé sur .NET. Ce logiciel malveillant voleur d'informations peut surveiller les frappes au clavier, faire des captures d'écran et voler des mots de passe à partir de différentes applications. Une fois les données acquises, Agent Tesla les envoie à l'acteur de la menace à l'aide de protocoles courants. 

Le logiciel malveillant est apparu pour la première fois en 2014 et a été annoncé sur un site web turc. À l'origine, l'agent Tesla était présenté comme un outil d'accès à distance que les clients pouvaient utiliser pour surveiller leurs ordinateurs personnels. Après avoir subi plusieurs modifications au fil des ans, principalement axées sur la réussite des analyses antivirus, il annonce aujourd'hui qu'il vole les informations d'identification de plus de 55 applications.

L'utilisation de l'agent Tesla par les acteurs de la menace est devenue plus courante à la fin de 2020 et au début de 2021 pendant Covid-19. Il convient de mentionner qu'une tendance similaire à l'activité malveillante qui prévaut actuellement a été observée à cette époque. Les acteurs de la menace avaient utilisé des documents Office avec des macros et des fichiers .rtf malveillants pour exploiter la CVE-2017-11882 et télécharger et exécuter l'agent Tesla.


Meilleures pratiques de cybersécurité pour Excel


De récents rapports d'actualité ont explicitement mentionné les meilleures pratiques en matière de cybersécurité pour Excel.
meilleures pratiques de cybersécurité pour Excel qui pourraient être utilisées pour se prémunir contre la vulnérabilité de MS Excel exploitée pour l'exécution de l'agent Tesla.

Partageant ses connaissances sur les logiciels malveillants de logiciel malveillant d'hameçonnageKhursale a déclaré que "Les acteurs de la menace adaptent constamment leurs méthodes d'infection, ce qui oblige les organisations à se tenir au courant de l'évolution des cybermenaces pour protéger leur environnement numérique."

Ceci, ainsi que la vulnérabilité de vulnérabilité de MS Excel à distance, souligne la nécessité de mettre en place des d'élaborer et de mettre en œuvre des stratégies de sécurité solides soient développées et mises en œuvre par ceux qui utilisent MS Office. En outre, les utilisateurs devraient également s'abstenir de télécharger et d'accéder à des fichiers provenant de sources inconnues.

En outre, le fait de se familiariser avec les techniques d'hameçonnage utilisées par les acteurs de la menace peut contribuer à assurer une protection contre les cyberattaques contre les feuilles de calcul, les risques liés à la sécurité des donnéeset d'autres menaces en ligne.


Conclusion 


Les acteurs de la menace ont récemment commencé à utiliser une vulnérabilité de
vulnérabilité de MS Excel pour diffuser l'agent Tesla. Une fois téléchargé, ce logiciel malveillant voleur d'informations peut causer de graves dommages aux victimes. En outre, les acteurs de la menace adaptent également les méthodes d'infection, ce qui oblige les utilisateurs individuels et les organisations à prendre des mesures de cybersécurité proactives. mesures de cybersécurité proactives pour contrer ces menaces et améliorer leur position de sécurité.

Les sources de cet article comprennent des articles dans The Hacker News et TechRadar.

 

Résumé
Vulnérabilité de MS Excel exploitée pour distribuer l'agent Tesla
Nom de l'article
Vulnérabilité de MS Excel exploitée pour distribuer l'agent Tesla
Description
La diffusion de l'agent Tesla par l'exploitation d'une vulnérabilité de MS Excel est en augmentation. Apprenez-en plus sur cette attaque pour rester en sécurité.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information