La CISA a ordonné aux agences fédérales d’atténuer les jours zéro d’exécution de code à distance affectant les produits Windows et Office qui ont été exploités par le groupe cybercriminel russe RomCom dans les attaques de phishing de l’OTAN.
Les failles de sécurité (collectivement suivies sous le nom de CVE-2023-36884) ont également été ajoutées à la liste des vulnérabilités exploitées connues de la CISA lundi.
En vertu de la directive opérationnelle contraignante (BOD 22-01) publiée en novembre 2021, les agences fédérales américaines de l’exécutif civil (FCEB) sont désormais tenues de sécuriser les appareils Windows sur leurs réseaux contre les attaques exploitant CVE-2023-36884.
Les agences fédérales ont eu trois semaines, jusqu’au 8 août, pour sécuriser leurs systèmes en mettant en œuvre des mesures d’atténuation partagées par Microsoft il y a une semaine.
Bien que la faille n’ait pas encore été corrigée, Microsoft s’est engagé à fournir des correctifs via le processus de publication mensuel ou une mise à jour de sécurité hors bande.
Jusqu’à ce que des correctifs soient disponibles, Redmond indique que les clients utilisant Defender pour Office 365, les applications Microsoft 365 (versions 2302 et ultérieures) et ceux qui ont déjà activé la règle de réduction de la surface d’attaque « Empêcher toutes les applications Office de créer des processus enfants » sont protégés contre CVE-2023. -36884 attaques de phishing.
Ceux qui n’utilisent pas ces protections peuvent ajouter les noms de processus suivants à la clé de registre FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION en tant que valeurs de type REG_DWORD avec les données 1 pour supprimer le vecteur d’attaque : Excel.exe, Graph.exe, MSAccess.exe, MSPub.exe, PowerPoint.exe, Visio.exe, WinProj.exe, WinWord.exe, Wordpad.exe.
Cependant, il est également important de noter que si la définition de cette clé de registre bloquera les attaques CVE-2023-36884, cela peut également avoir un impact sur la fonctionnalité de certaines applications Microsoft Office.
Même si l’objectif principal du catalogue tourne autour des agences fédérales américaines, il est fortement conseillé aux entreprises privées de prioriser également la correction de toutes les vulnérabilités ajoutées au catalogue KEV de CISA.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a averti la CISA.
Exploité par des pirates informatiques russes lors d’attaques de phishing de l’OTAN
Dans un rapport publié lors du Patch Tuesday de ce mois-ci, Microsoft a confirmé que les zero-days CVE-2023-36884 ont été exploités dans des attaques ciblées contre des entités gouvernementales en Amérique du Nord et en Europe.
« La campagne impliquait l’abus de CVE-2023-36884, qui comprenait une vulnérabilité d’exécution de code à distance exploitée avant d’être divulguée à Microsoft via des documents Word », a déclaré Redmond.
« Storm-0978 (DEV-0978 ; également appelé RomCom, le nom de leur porte dérobée, par d’autres fournisseurs) est un groupe cybercriminel basé en Russie, connu pour mener des opérations opportunistes de ransomware et d’extorsion uniquement, ainsi que des informations d’identification ciblées. – des campagnes de rassemblement susceptibles d’appuyer des opérations de renseignement. »
« La dernière campagne de l’acteur détectée en juin 2023 impliquait un abus de CVE-2023-36884 pour fournir une porte dérobée présentant des similitudes avec RomCom. »
Selon des rapports compilés par des chercheurs de l’équipe de renseignement de BlackBerry et de l’équipe ukrainienne d’intervention d’urgence informatique (CERT-UA), les attaquants ont utilisé des documents Office malveillants se faisant passer pour l’organisation ukrainienne du Congrès mondial pour cibler des organisations participant au sommet de l’OTAN à Vilnius.
Grâce à cette ruse, ils ont réussi à tromper leurs cibles pour déployer des charges utiles de logiciels malveillants, qui comprenaient le chargeur MagicSpell et la porte dérobée RomCom.
Le gang de cybercriminels RomCom était auparavant lié à l’opération de ransomware Industrial Spy et est maintenant passé à une nouvelle souche de ransomware appelée Underground. En mai 2022, MalwareHunterTeam a également trouvé un lien vers l’opération de rançongiciel Cuba tout en enquêtant sur l’adresse e-mail et l’ID TOX dans une note de rançon d’Industrial Spy.