Rueil-Malmaison, le 14 février 2024 Trend Micro Incorporated (TYO : 4704 ; TSE : 4704), leader mondial de la cybersécurité, annonce la découverte d'une vulnérabilité dans Microsoft Windows Defender activement exploitée par le groupe APT Water Hydra.

Trend a découvert cette faille le 31 décembre 2023 et protège automatiquement ses clients. Cette vulnérabilité active (CVE-2024-21412) de type zero-day a été divulguée à Microsoft grâce au concours de la Zero Day Initiative™ (ZDI), pour laquelle Trend Micro est contributeur majeur. L’annonce de cette vulnérabilité a été publiée pour la première fois hier, le 13 février 2024.

Trend protège ses clients en émettant des correctifs virtuels en moyenne 51 jours avant la publication des correctifs officiels, dont la dernière faille zero day de Microsoft. Pour tous les autres fournisseurs, le délai moyen de protection des clients est de 96 jours. Trend estime que les clients qui ont appliqué tous les correctifs virtuels en 2023 ont permis à leur entreprise l’économie moyenne de 1 million de dollars

« Nous avons pu constater les avantages d'être sous la protection de Trend Micro.
Ses informations inégalées sur les menaces nous permettent d'être protégés de manière proactive contre les menaces émergentes. En mettant en œuvre les correctifs virtuels proposés, nous sommes parvenus à devancer les tentatives d'exploitation potentielles, à sécuriser nos systèmes et à garantir la sécurité des systèmes de nos clients bien avant que les correctifs officiels ne soient disponibles. Il s'agit d'un élément essentiel de notre stratégie de cybersécurité, qui nous offre une grande tranquillité d'esprit et nous permet de réaliser des économies significatives en matière de prévention de failles potentielles » commente Mark Houpt, RSSI, Databank.

Lorsqu'une nouvelle vulnérabilité de type zero-day est découverte, Trend en informe le fournisseur de manière responsable. Les clients de Trend bénéficient quant à eux d'un correctif virtuel pour protéger leurs systèmes contre l'exploitation de ces failles jusqu'à ce qu'une version officielle puisse être appliquée.

« Les vulnérabilités de type zero day représentent un moyen de plus en plus populaire pour les acteurs de la menace d'atteindre leurs objectifs. C'est l'une des raisons pour lesquelles nous investissons autant dans les informations propres aux menaces, afin de pouvoir protéger nos clients des mois avant la publication des correctifs officiels des fournisseurs. Nous sommes fiers de contribuer à un monde avec moins de cyber-risques », explique Kevin Simzer, COO chez Trend.

Avec ce type de brèche, le risque majeur réside dans le fait que les vulnérabilités puissent être exploitées par des acteurs malveillants ciblant un certain nombre d'industries ou d'organisations. Il est activement exploité par le groupe APT, motivé par le gain financier, pour compromettre des traders participant au marché des devises, dont les enjeux sont considérables.

Plus précisément, il est utilisé dans une chaîne d'attaque sophistiquée de type zero-day pour permettre le contournement de Windows Defender SmartScreen. Ses attaques sont conçues pour infecter les victimes avec le cheval de Troie d'accès à distance (RAT) DarkMe en vue d'un éventuel vol de données et d'un ransomware.

En utilisant des couches de défense pour atténuer les menaces avancées, les capacités du système de prévention des intrusions (IPS) de Trend ont fourni des correctifs virtuels en bloquant complètement l'exploitation de la vulnérabilité CVE-2024-21412.

Trend Vision One™ identifie automatiquement les vulnérabilités critiques et offre une visibilité sur tous les endpoints affectés ainsi que sur leur impact éventuel sur le risque global de  l’organisation. L'approche proactive de Trend en matière de gestion des risques réduit le besoin de mesures réactives de dernière minute le jour de leur révélation (disclose day) et s’assure que les clients soient bien préparés pour atténuer les risques en toute confiance.

En revanche, les organisations qui s'appuient uniquement sur une approche de détection et de réponse des endpoints (EDR) peuvent être exposées à la menace si leurs assaillants utilisent des techniques avancées pour éviter d'être détectés.

La capacité de ZDI - le plus grand programme de recherche de bug bounty au monde - à trouver et à alimenter les correctifs virtuels s’est renforcée à la lumière de deux tendances clés, identifiées par Trend :

• Les vulnérabilités de type zero-day découvertes par les groupes de cybercriminels sont de plus en plus souvent déployées dans des chaînes d'attaque par des groupes d'États-nations comme APT28, APT29 et APT40, ce qui élargit leur portée.
• La vulnérabilité CVE-2024-21412 est elle-même un simple contournement de CVE-2023-36025, ce qui montre à quel point les groupes APT peuvent facilement identifier et contourner les correctifs des fournisseurs.

Pour en savoir plus sur cette découverte, cliquez ici

Pour plus d'informations techniques sur la manière dont cela s'est produit, cliquez ici