Microsoft exhorte les administrateurs des serveurs Minecraft auto-hébergés à passer à la dernière version pour se défendre contre les attaques de ransomware Khonsari exploitant la vulnérabilité de sécurité critique Log4Shell.
Mojang Studios, le développeur suédois de jeux vidéo derrière Minecraft, a publié une mise à jour de sécurité d’urgence la semaine dernière pour corriger le bug suivi comme CVE-2021-44228 dans la bibliothèque de journalisation Java Apache Log4j (utilisée par le client Java Edition du jeu et les serveurs multijoueurs).
Bien qu’il n’y ait eu aucune mention d’attaques ciblant les serveurs Minecraft utilisant des exploits Log4Shell à l’époque, les experts en sécurité de Redmond ont mis à jour leurs directives CVE-2021-44228 aujourd’hui pour avertir de l’exploitation en cours pour fournir des ransomwares sur des serveurs Minecraft non hébergés par Microsoft.
« Dans ces cas, un adversaire envoie un message malveillant dans le jeu à un serveur Minecraft vulnérable, qui exploite CVE-2021-44228 pour récupérer et exécuter une charge utile hébergée par un attaquant à la fois sur le serveur et sur les clients vulnérables connectés », Microsoft mentionné.
« Nous avons observé une exploitation menant à un fichier de classe Java malveillant qui est le ransomware Khonsari, qui est ensuite exécuté dans le contexte de javaw.exe pour rançonner l’appareil. »
L’équipe Microsoft 365 Defender Threat Intelligence et le Microsoft Threat Intelligence Center (MSTIC) ont également observé des coques inversées basées sur PowerShell déployées dans des failles d’entreprise où les exploits Log4j ciblant les serveurs Minecraft étaient le point d’entrée.
Bien que Minecraft ne soit pas quelque chose que l’on s’attendrait à trouver installé sur un point de terminaison d’entreprise, les acteurs de la menace qui ont réussi à compromettre l’un de ces serveurs ont également utilisé des Mimikats pour voler des informations d’identification, susceptibles de maintenir l’accès aux systèmes violés pour une activité de suivi.
Défendez votre serveur Minecraft des attaques Log4Shell
Microsoft avertit tous les administrateurs d’installer immédiatement les dernières mises à jour du serveur Minecraft pour les défendre contre ces attaques et demande aux joueurs de se connecter uniquement aux serveurs Minecraft de confiance.
Si vous hébergez votre propre serveur Minecraft : Java Edition, vous devez suivre la procédure décrit ici.
Pour passer à la version corrigée, il est conseillé aux joueurs utilisant le client officiel de Mojang de fermer toutes les instances de jeu en cours et de Minecraft Launcher et de redémarrer le Launcher pour installer le correctif automatiquement.
Ceux qui utilisent des clients Minecraft modifiés et des lanceurs tiers doivent contacter leurs fournisseurs tiers pour une mise à jour de sécurité.
La sécurité des joueurs est la priorité absolue pour nous. Malheureusement, plus tôt dans la journée, nous avons identifié une faille de sécurité dans Minecraft : Java Edition.
Le problème est corrigé, mais veuillez suivre ces étapes pour sécuriser votre client de jeu et/ou vos serveurs. Veuillez RT pour amplifier.https://t.co/4Ji8nsvpHf
– Minecraft (@Minecraft) 10 décembre 2021
Ransomware ou essuie-glace ?
Khonsari, la souche de malware déployée dans ces attaques, a été étiqueté comme ransomware par Bitdefender, qui a été le premier à le repérer déployé dans les attaques Log4Shell.
Cependant, comme l’a signalé EZpublish-france.fr, la demande de rançon de Khonsari ne propose pas de moyen de contacter les opérateurs de ransomware pour payer une rançon.
De plus, l’analyste d’Emsisoft Brett Callow a également souligné que le ransomware porte le nom et utilise les coordonnées d’un propriétaire d’un magasin d’antiquités de Louisiane plutôt que celles de l’acteur menaçant.
Le manque d’informations de paiement le classerait comme un type de malware destructeur appelé essuie-glace, qui permet de désactiver les serveurs Minecraft à des fins de deuil ou de trolling.