Une vulnérabilité présente dans Microsoft Office
Une vulnérabilité de criticité élevée (score CVSS v3 de 8.3) a été identifiée au sein de Microsoft Office (Word, Excel, PowerPoint, Outlook) mardi 11 juillet 2023. Son exploitation pourrait entraîner une perte totale de confidentialité, de disponibilité et d’intégrité, permettant aux attaquants d’accéder à des informations sensibles, de désactiver les mécanismes de sécurité et d’interdire l’accès au système compromis.
La vulnérabilité provient d’une erreur non détaillée par l’éditeur, permettant à un attaquant distant et non authentifié d’envoyer un document Office spécifiquement conçu lors d’attaques par phishing pour exécuter du code arbitraire à distance sur les systèmes ciblés.
Microsoft a connaissance d’attaques ciblées exploitant la CVE-2023-36884.
Aucun correctif de sécurité n’est disponible à l’heure actuelle.
Microsoft propose les mesures d’atténuation suivantes :
- Installation de « Defender for Office »
- Activation de la règle « Attack Surface Reduction Rule »
- Définition d’une clé de registre [FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION]
Le CERT-XMCO souhaite porter à votre attention que cette clé de registre peut affecter certaines fonctionnalités de Microsoft Office ainsi que d’autres applications (telles que WinWord.exe, Wordpad.exe, etc..).
Son exploitation par le MOA Storm-0978
Les équipes du CERT-UA et de BlackBerry Threat Research and Intelligence ont identifié l’exploitation active de la CVE-2023-36884 par le mode opératoire des attaquants (MOA) « Storm-0978 » en marge du sommet de l’OTAN à Vilnius, en Lituanie, les 11 et 12 juillet 2023.
2 documents leurres envoyés le 4 juillet 2023 ont été observés par les équipes de CTI de BlackBerry dont l’objectif semblait vraisemblablement de cibler des politiciens ukrainiens travaillant en collaboration avec des nations occidentales :
- `Letter_NATO_Summit_Vilnius_2023_ENG(1)[.]docx`
- `Overview_of_UWCs_UkraineInNATO_campaign[.]docx`
Figure 1 – Document de leurre Storm-0978 avec contenu du Congrès mondial ukrainien et de l’OTAN (source : Microsoft)
Lors de cette campagne d’attaques, Storm-0978 aurait usurpé l’identité de l’organisation du Congrès mondial ukrainien pour diffuser des payloads malveillantes au sein des documents leurres, responsables de l’exécution du loader MagicSpell et de la backdoor RomCom.
D’après Microsoft, la CVE-2023-36884 aurait déjà été exploitée par Storm-0978 en juin 2023 pour créer une backdoor présentant des similitudes avec RomCom. Les chercheurs ont noté que les opérateurs de Storm-0978 avaient également ciblé une organisation de soins de santé aux États-Unis qui aide les réfugiés ayant fui l’Ukraine.
Selon les investigations de Microsoft, le mode opératoire Storm-0978 est associé à un groupe d’opérateurs criminels basés en Russie, s’étant initialement illustré par des attaques par ransomware. Depuis l’essor du Ransomware-as-a-Service (RaaS), les acteurs de la menace cyber utilisent désormais des tactiques, techniques et procédures avec un degré élevé de sophistication que l’on pensait jusqu’alors réservées aux modes opératoires APT.
L’exploitation de mêmes TTPs et malwares lors d’attaques aux objectifs divers laisse supposer l’existence de liens entre le cybercrime et des modes opératoires parrainés par l’État russe, en marge du conflit en Ukraine.
Références
- https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives/
- https://blogs.blackberry.com/en/2023/06/romcom-resurfaces-targeting-ukraine
- https://nvd.nist.gov/vuln/detail/CVE-2023-36884
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2023-36884
- https://cert.gov.ua/article/5077168
- https://www.zscaler.com/blogs/security-research/technical-analysis-industrial-spy-ransomware
- https://www.bleepingcomputer.com/news/security/microsoft-unpatched-office-zero-day-exploited-in-nato-summit-attacks/
Indices de Compromission :
Des indices de compromissions ont été publiés sur le site du CERT-UA et de Zscaler