Les administrateurs informatiques ayant Microsoft Office dans leurs environnements sont invités à prendre des mesures après la découverte d’une vulnérabilité jusque-là inconnue exploitée par un gang de cybercriminels basé en Russie.
La vulnérabilité, CVE-2023-36884, décrite comme une vulnérabilité d’exécution à distance de code HTML impliquant des documents Microsoft Office spécialement conçus, n’a pas été corrigée hier dans les correctifs du mardi publiés par Microsoft.
Un attaquant a besoin de convaincre la victime d’ouvrir le fichier malveillant, ce qui signifie que les avertissements de sensibilisation à la sécurité aux employés contribueront à réduire les risques de compromission.
Les services informatiques qui utilisent Microsoft Defender pour Office sont protégés contre les pièces jointes qui tentent d’exploiter cette vulnérabilité. Ceux qui ne l’utilisent pas devraient vérifier auprès de leur fournisseur d’antivirus/anti-maliciel pour voir si ces applications ont été mises à jour pour empêcher cette exploitation. De plus, la mise en place de la règle de réduction de la surface d’attaque Empêcher toutes les applications Office de créer des processus enfants empêchera l’exploitation de la vulnérabilité.
Une autre option consiste à définir la clé de registre Windows FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION, en ajoutant les noms des applications Microsoft telles que Excel.exe, Graph.exe, MSAccess.exe pour éviter toute exploitation. Microsoft prévient que bien que ce paramètre de registre atténue l’exploitation de cette vulnérabilité, il pourrait affecter les fonctionnalités régulières pour certains cas d’utilisation liés à ces applications.
Microsoft a déclaré qu’il est possible qu’elle fournisse une mise à jour de sécurité hors cycle pour corriger cette vulnérabilité.
La société a pris eu connaissance de la vulnérabilité grâce à ses propres renseignements et aux chercheurs en sécurité d’une campagne d’hameçonnage menée par un groupe basé en Russie qu’elle surnomme Storm-0978. D’autres appellent ce groupe RomCom parce qu’il distribue la porte dérobée RomCom. Les cibles de cette attaque étaient des organisations de défense et gouvernementales en Europe et en Amérique du Nord ayant un intérêt en Ukraine.
Plus précisément, le mois dernier, des courriels d’hameçonnage ont été envoyés avec un sujet relatif à la réunion de cette semaine des chefs d’État de l’OTAN en Lituanie. Le message prétendait être une invitation du Congrès mondial ukrainien à assister au sommet. Un document infecté ou des documents expliquant les positions du Congrès pour la réunion étaient attachés au courriel.
Cependant, les documents incluent un faux chargeur OneDrive pour fournir une porte dérobée présentant des similitudes avec RomCom.
En outre, ce groupe de menaces a été vu en train d’essayer de fournir un rançongiciel contre une cible non liée en utilisant les mêmes charges utiles initiales.
La semaine dernière, BlackBerry a émis un avertissement concernant des documents Word infectés prétendument du Congrès mondial ukrainien, bien qu’elle n’ait pas expliqué comment ils étaient distribués. La campagne impliquait la création d’un site Web ressemblant à celui du Congrès mondial ukrainien. La principale différence : le vrai site Web se termine par .org, tandis que le faux site Web se termine par .info.
La chaîne d’exécution du maliciel trouvé par BlackBerry utilise CVE-2022-30190, une vulnérabilité du jour zéro également appelée Follina qui a été corrigée l’année dernière, qui affecte l’outil de diagnostic de support de Microsoft (MSDT). Le but ultime est l’installation de la porte dérobée RomCom.
Adaptation et traduction française par Renaud Larue-Langlois.