Microsoft prévient les administrateurs d’Office de bloquer l’exploitation d’une vulnérabilité du jour zéro

Les administrateurs informatiques ayant Microsoft Office dans leurs environnements sont invités à prendre des mesures après la découverte d’une vulnérabilité jusque-là inconnue exploitée par un gang de cybercriminels basé en Russie.

La vulnérabilité, CVE-2023-36884, décrite comme une vulnérabilité d’exécution à distance de code HTML impliquant des documents Microsoft Office spécialement conçus, n’a pas été corrigée hier dans les correctifs du mardi publiés par Microsoft.

Un attaquant a besoin de convaincre la victime d’ouvrir le fichier malveillant, ce qui signifie que les avertissements de sensibilisation à la sécurité aux employés contribueront à réduire les risques de compromission.

Les services informatiques qui utilisent Microsoft Defender pour Office sont protégés contre les pièces jointes qui tentent d’exploiter cette vulnérabilité. Ceux qui ne l’utilisent pas devraient vérifier auprès de leur fournisseur d’antivirus/anti-maliciel pour voir si ces applications ont été mises à jour pour empêcher cette exploitation. De plus, la mise en place de la règle de réduction de la surface d’attaque Empêcher toutes les applications Office de créer des processus enfants empêchera l’exploitation de la vulnérabilité.

Une autre option consiste à définir la clé de registre Windows FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION, en ajoutant les noms des applications Microsoft telles que Excel.exe, Graph.exe, MSAccess.exe pour éviter toute exploitation. Microsoft prévient que bien que ce paramètre de registre atténue l’exploitation de cette vulnérabilité, il pourrait affecter les fonctionnalités régulières pour certains cas d’utilisation liés à ces applications.

Microsoft a déclaré qu’il est possible qu’elle fournisse une mise à jour de sécurité hors cycle pour corriger cette vulnérabilité.

La société a pris eu connaissance de la vulnérabilité grâce à ses propres renseignements et aux chercheurs en sécurité d’une campagne d’hameçonnage menée par un groupe basé en Russie qu’elle surnomme Storm-0978. D’autres appellent ce groupe RomCom parce qu’il distribue la porte dérobée RomCom. Les cibles de cette attaque étaient des organisations de défense et gouvernementales en Europe et en Amérique du Nord ayant un intérêt en Ukraine.

Plus précisément, le mois dernier, des courriels d’hameçonnage ont été envoyés avec un sujet relatif à la réunion de cette semaine des chefs d’État de l’OTAN en Lituanie. Le message prétendait être une invitation du Congrès mondial ukrainien à assister au sommet. Un document infecté ou des documents expliquant les positions du Congrès pour la réunion étaient attachés au courriel.

Cependant, les documents incluent un faux chargeur OneDrive pour fournir une porte dérobée présentant des similitudes avec RomCom.

En outre, ce groupe de menaces a été vu en train d’essayer de fournir un rançongiciel contre une cible non liée en utilisant les mêmes charges utiles initiales.

La semaine dernière, BlackBerry a émis un avertissement concernant des documents Word infectés prétendument du Congrès mondial ukrainien, bien qu’elle n’ait pas expliqué comment ils étaient distribués. La campagne impliquait la création d’un site Web ressemblant à celui du Congrès mondial ukrainien. La principale différence : le vrai site Web se termine par .org, tandis que le faux site Web se termine par .info.

La chaîne d’exécution du maliciel trouvé par BlackBerry utilise CVE-2022-30190, une vulnérabilité du jour zéro également appelée Follina qui a été corrigée l’année dernière, qui affecte l’outil de diagnostic de support de Microsoft (MSDT). Le but ultime est l’installation de la porte dérobée RomCom.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Un duo montréalais lance une plateforme gratuite de formation en cybersécurité.

Deux amis d'enfance, tous deux entrepreneurs basés à Montréal,...

Balado Hashtag Tendances, 4 janvier 2024 — Une app Copilot, des iPhones compromis, Google et les applications Android et Adobe n’acquiert pas Figma

Cette semaine : Copilot sur Android et iOS, une attaque de porte dérobée de milliers d’iPhone, Google paie l’amende et assouplit les règles sur les applications Android et Adobe abandonne son projet d’acquérir Figma.

Des pirates abusent d’OAuth pour automatiser des cyberattaques, selon Microsoft

Selon Microsoft, des acteurs malveillants utilisent à mauvais escient les applications basées sur OAuth comme outil d'automatisation d'authentification.

Les entreprises canadiennes de taille moyenne paient en moyenne 1,13 million de dollars aux gangs de rançongiciels

Le paiement moyen de rançongiciel effectué par les entreprises canadiennes de taille moyenne s'élevait cette année à un peu plus d'un million de dollars, selon une nouvelle enquête.

Adoption du projet de loi no 38 sur la cybersécurité et la transformation numérique de l’administration publique

Le projet de loi no 38, connu sous le nom de Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d'autres dispositions législatives, a été adopté plus tôt cette semaine par l'Assemblée nationale.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.