L’équipe Threat Intelligence de Microsoft a émis un avertissement plus tôt dans la journée concernant l’acteur parrainé par l’État russe APT28 (alias « Fancybear » ou « Strontium ») qui exploite activement la faille Outlook CVE-2023-23397 pour détourner des comptes Microsoft Exchange et voler des informations sensibles.
Les entités ciblées comprennent le gouvernement, l’énergie, les transports et d’autres organisations clés aux États-Unis, en Europe et au Moyen-Orient.
Le géant de la technologie a également souligné l’exploitation d’autres vulnérabilités avec des exploits accessibles au public dans les mêmes attaques, notamment CVE-2023-38831 dans WinRAR et CVE-2021-40444 dans Windows MSHTML.
Contexte de l’exploitation des failles Outlook
CVE-2023-23397 est une vulnérabilité critique d’élévation de privilèges (EoP) dans Outlook sous Windows, que Microsoft a corrigée comme un jour zéro lors du Path Tuesday de mars 2023.
La divulgation de la faille s’est accompagnée de la révélation qu’APT28 l’exploitait depuis avril 2022 via des notes Outlook spécialement conçues pour voler les hachages NTLM, forçant les appareils cibles à s’authentifier auprès des partages SMB contrôlés par l’attaquant sans nécessiter d’interaction de l’utilisateur.
En élevant leurs privilèges sur le système, ce qui s’est avéré simple, APT28 a effectué un mouvement latéral dans l’environnement de la victime et a modifié les autorisations de la boîte aux lettres Outlook pour effectuer un vol ciblé de courrier électronique.
Malgré la disponibilité de mises à jour de sécurité et de recommandations d’atténuation, la surface d’attaque est restée importante et un contournement du correctif (CVE-2023-29324) qui a suivi en mai a aggravé la situation.
Recorded Future a averti en juin qu’APT28 avait probablement exploité la faille Outlook contre des organisations ukrainiennes clés. En octobre, l’Agence française de cybersécurité (ANSSI) a révélé que les pirates informatiques russes avaient utilisé l’attaque zéro clic contre des entités gouvernementales, des entreprises, des universités, des instituts de recherche et des groupes de réflexion en France.
Les attaques toujours en cours
Le dernier avertissement de Microsoft souligne que les pirates du GRU exploitent toujours le CVE-2023-38831 dans leurs attaques. Il existe donc encore des systèmes qui restent vulnérables à la faille critique EoP.
L’entreprise technologique a également souligné le travail du Centre polonais de cyber-commandement (DKWOC) pour aider à détecter et arrêter les attaques. DKWOC a également publié un article décrivant l’activité APT28 qui exploite CVE-2023-38831.
Les actions recommandées à entreprendre dès maintenant, classées par priorité, sont les suivantes :
- Appliquez les mises à jour de sécurité disponibles pour CVE-2023-23397 et son contournement CVE-2023-29324.
- Utilisez ce script de Microsoft pour vérifier si des utilisateurs Exchange ont été ciblés.
- Réinitialisez les mots de passe des utilisateurs compromis et activez MFA (authentification multifacteur) pour tous les utilisateurs.
- Limitez le trafic SMB en bloquant les connexions aux ports 135 et 445 à partir de toutes les adresses IP entrantes
- Désactivez NTLM sur votre environnement.
Étant donné qu’APT28 est un groupe de menaces très inventif et adaptatif, la stratégie de défense la plus efficace consiste à réduire la surface d’attaque sur toutes les interfaces et à garantir que tous les produits logiciels sont régulièrement mis à jour avec les derniers correctifs de sécurité.