Un exploit est une méthode ou un morceau de code qui exploite les vulnérabilités des logiciels , des applications , des réseaux , des systèmes d'exploitation ou du matériel , généralement à des fins malveillantes. Le terme « exploit » dérive du verbe anglais « to exploit », qui signifie « utiliser quelque chose à son propre avantage ». Les exploits sont conçus pour identifier des failles, contourner les mesures de sécurité, obtenir un accès non autorisé aux systèmes, prendre le contrôle des systèmes, installer des logiciels malveillants ou voler des données sensibles . Bien qu'un exploit en lui-même ne soit pas un logiciel malveillant , il sert de véhicule pour diffuser des logiciels malveillants en violant les contrôles de sécurité .
Les exploits ciblent les vulnérabilités, qui sont essentiellement des défauts ou des faiblesses dans les défenses d'un système. Les cibles courantes des exploits incluent les systèmes d'exploitation , les navigateurs Web et diverses applications , où des vulnérabilités cachées peuvent compromettre l'intégrité et la sécurité des systèmes informatiques . Les exploits peuvent provoquer un comportement inattendu ou non prévu dans les systèmes, pouvant conduire à de graves failles de sécurité .
De nombreux exploits sont conçus pour fournir un accès de niveau superutilisateur à un système informatique. Les attaquants peuvent utiliser plusieurs exploits à la suite pour obtenir d'abord un accès de bas niveau, puis augmenter les privilèges à plusieurs reprises jusqu'à atteindre le niveau administratif le plus élevé, souvent appelé « root ». Cette technique consistant à enchaîner plusieurs exploits pour effectuer une seule attaque est connue sous le nom de chaîne d'exploits.
Les exploits qui restent inconnus de tous, sauf des personnes qui les ont découverts et développés, sont appelés exploits zero-day ou « 0day ». Une fois qu'un exploit est révélé aux auteurs du logiciel concerné, la vulnérabilité associée est souvent corrigée par un patch , rendant l'exploit inutilisable. C'est pourquoi certains hackers black hat , ainsi que des hackers militaires ou des agences de renseignement, ne publient pas leurs exploits mais les gardent privés. Un système qui propose des exploits zero-day est connu sous le nom d' exploit as a service .
Les chercheurs estiment que les attaques malveillantes coûtent à l' économie mondiale plus de 450 milliards de dollars par an. En réponse à cette menace, les organisations utilisent de plus en plus les renseignements sur les cybermenaces pour identifier les vulnérabilités et prévenir les piratages avant qu'ils ne se produisent.
Classification
Il existe plusieurs méthodes de classification des exploits. La plus courante consiste à classer les exploits en fonction de la manière dont ils communiquent avec le logiciel vulnérable.
Un exploit à distance fonctionne sur un réseau et exploite la vulnérabilité de sécurité sans aucun accès préalable au système vulnérable.
Un exploit local nécessite un accès préalable ou un accès physique au système vulnérable et augmente généralement les privilèges de la personne qui exécute l'exploit au-delà de ceux accordés par l'administrateur système. Il existe également des exploits contre les applications clientes, consistant généralement en des serveurs modifiés qui envoient un exploit s'ils sont consultés avec une application cliente. Une forme courante d'exploits contre les applications clientes est l'exploitation des navigateurs . Les exploits contre les applications clientes peuvent également nécessiter une certaine interaction avec l'utilisateur et peuvent donc être utilisés en combinaison avec la méthode d'ingénierie sociale .
Une autre classification est effectuée en fonction de l'action contre le système vulnérable ; l'accès non autorisé aux données, l'exécution de code arbitraire et le déni de service en sont des exemples.
Les exploitations sont généralement classées et nommées par le type de vulnérabilité qu'elles exploitent (voir vulnérabilités pour une liste) , qu'elles soient locales/distantes et le résultat de l'exécution de l'exploit (par exemple EoP , DoS , spoofing ).
Zéro clic
Une attaque sans clic est un exploit qui ne nécessite aucune interaction de l'utilisateur pour fonctionner, c'est-à-dire aucune pression de touche ni aucun clic de souris. FORCEDENTRY , découvert en 2021, est un exemple d'attaque sans clic.
Ces exploits sont généralement les plus recherchés (en particulier sur le marché des exploits clandestins) car la cible n'a généralement aucun moyen de savoir qu'elle a été compromise au moment de l'exploitation.
En 2022, NSO Group aurait vendu des exploits zero-click aux gouvernements pour pénétrer dans les téléphones des particuliers.
Pivotant
Le pivotement est une technique employée par les pirates informatiques et les testeurs de pénétration pour étendre leur accès au sein d'un réseau cible. En compromettant un système, les attaquants peuvent l'utiliser comme plate-forme pour cibler d'autres systèmes qui sont généralement protégés de l'accès externe direct par des pare-feu . Les réseaux internes contiennent souvent une gamme plus large de machines accessibles par rapport à celles exposées à Internet. Par exemple, un attaquant peut compromettre un serveur Web sur un réseau d'entreprise, puis l'utiliser pour cibler d'autres systèmes au sein du même réseau. Cette approche est souvent qualifiée d'attaque multicouche. Le pivotement est également connu sous le nom de saut d'île .
Le pivotement peut en outre être distingué en pivotement proxy et pivotement VPN :
- Le pivotement de proxy est la pratique consistant à canaliser le trafic via une cible compromise à l'aide d'une charge utile de proxy sur la machine et à lancer des attaques depuis l'ordinateur. Ce type de pivotement est limité à certains ports TCP et UDP pris en charge par le proxy.
- Le pivot VPN permet à l'attaquant de créer une couche cryptée pour pénétrer dans la machine compromise afin d'acheminer tout trafic réseau via cette machine cible, par exemple, pour exécuter une analyse de vulnérabilité sur le réseau interne via la machine compromise, donnant ainsi à l'attaquant un accès complet au réseau comme s'il était derrière le pare-feu.
En règle générale, les applications proxy ou VPN permettant le pivotement sont exécutées sur l’ordinateur cible en tant que charge utile d’un exploit.
Le pivotement consiste généralement à infiltrer une partie de l'infrastructure réseau (par exemple, une imprimante ou un thermostat vulnérable) et à utiliser un scanner pour trouver d'autres appareils connectés afin de les attaquer. En attaquant une partie vulnérable du réseau, un attaquant peut infecter la plupart ou la totalité d'un réseau et en prendre le contrôle total.