Microsoft a dévoilé aujourd’hui un bogue de sécurité zero-day non corrigé dans plusieurs produits Windows et Office exploités à l’état sauvage pour obtenir l’exécution de code à distance via des documents Office malveillants.

Les attaquants non authentifiés peuvent exploiter la vulnérabilité (suivie en tant que CVE-2023-36884) dans des attaques très complexes sans nécessiter d’interaction de l’utilisateur.

Une exploitation réussie pourrait entraîner une perte totale de confidentialité, de disponibilité et d’intégrité, permettant aux attaquants d’accéder à des informations sensibles, de désactiver la protection du système et de refuser l’accès au système compromis.

« Microsoft enquête sur des rapports faisant état d’une série de vulnérabilités d’exécution de code à distance affectant les produits Windows et Office. Microsoft est au courant d’attaques ciblées qui tentent d’exploiter ces vulnérabilités en utilisant des documents Microsoft Office spécialement conçus », a déclaré Redmond aujourd’hui.

« Un attaquant pourrait créer un document Microsoft Office spécialement conçu qui lui permettrait d’exécuter du code à distance dans le contexte de la victime. Cependant, un attaquant devrait convaincre la victime d’ouvrir le fichier malveillant. »

Bien que la faille ne soit pas encore corrigée, Microsoft indique qu’il fournira aux clients des correctifs via le processus de publication mensuel ou une mise à jour de sécurité hors bande.

Mesures d’atténuation disponibles
Jusqu’à ce que les correctifs CVE-2023-36884 soient disponibles, Microsoft indique que les clients utilisant Defender pour Office et ceux qui ont activé la règle de réduction de la surface d’attaque « Bloquer toutes les applications Office de la création de processus enfants » sont protégés contre les attaques de phishing tentant d’exploiter le bogue.

Ceux qui n’utilisent pas ces protections peuvent ajouter les noms d’application suivants à la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION en tant que valeurs de type REG_DWORD avec les données 1 :

  • Excel.exe
  • Graph.exe
  • MSAccess.exe
  • MSPub.exe
  • PowerPoint.exe
  • Visio.exe
  • WinProj.exe
  • WinWord.exe
  • Wordpad.exe

Cependant, il est important de noter que la définition de cette clé de registre pour bloquer les tentatives d’exploitation peut également avoir un impact sur certaines fonctionnalités de Microsoft Office liées aux applications répertoriées ci-dessus.

Définition de la clé de registre FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION

Exploité dans des attaques visant des participants au sommet de l’OTAN
Dans un article de blog séparé, la société affirme que le bogue CVE-2023-36884 a été exploité lors de récentes attaques visant des organisations participant au sommet de l’OTAN à Vilnius, en Lituanie.

Comme documenté dans des rapports publiés par l’équipe ukrainienne d’intervention d’urgence informatique (CERT-UA) et des chercheurs de l’équipe de renseignement de BlackBerry, les attaquants ont utilisé des documents malveillants se faisant passer pour l’organisation ukrainienne du Congrès mondial pour installer des charges utiles malveillantes, notamment le chargeur MagicSpell et la porte dérobée RomCom.

« Si elle est exploitée avec succès, elle permet à un attaquant de mener une attaque basée sur l’exécution de code à distance (RCE) via la création d’un document .docx ou .rtf malveillant conçu pour exploiter la vulnérabilité », ont déclaré les chercheurs en sécurité de BlackBerry.

« Ceci est réalisé en tirant parti du document spécialement conçu pour exécuter une version vulnérable de MSDT, qui à son tour permet à un attaquant de transmettre une commande à l’utilitaire pour exécution. »

« La dernière campagne de l’acteur détectée en juin 2023 impliquait un abus de CVE-2023-36884 pour fournir une porte dérobée présentant des similitudes avec RomCom », a également déclaré Microsoft mardi.

Liens de RomCom vers les rançongiciels
RomCom est un groupe cybercriminel basé en Russie (également suivi sous le nom de Storm-0978) connu pour se livrer à des attaques de ransomware et d’extorsion parallèlement à des campagnes axées sur le vol d’informations d’identification, probablement destinées à soutenir les opérations de renseignement, selon Redmond.

Le gang était auparavant lié à l’opération de ransomware Industrial Spy, qui est maintenant passée au ransomware appelé Underground [VirusTotal].

Note de rançon souterraine

En mai 2022, alors qu’il enquêtait sur l’identifiant TOX et l’adresse e-mail dans une note de rançon d’Industrial Spy, MalwareHunterTeam a découvert une association particulière avec l’opération de rançongiciel Cuba.

Il a observé qu’un échantillon de rançongiciel Industrial Spy a généré une note de rançon contenant un identifiant TOX et une adresse e-mail identiques à ceux utilisés par Cuba, ainsi que des liens vers le site de fuite de données de Cuba.

Cependant, au lieu de diriger les utilisateurs vers le site de fuite de données d’Industrial Spy, le lien fourni menait au site Tor de Cuba Ransomware. De plus, la note de rançon utilisait le même nom de fichier, !! LISEZ-MOI !!.txt, tout comme les notes de rançon cubaines précédemment identifiées.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *