2 failles zero-day présentes dans Windows et Firefox exploitées par des pirates russes !
Lors de ses récentes attaques, le groupe de cybercriminels RomCom, basé en Russie, s'est appuyé sur une chaine d'exploitation constituée de 2 failles de sécurité zero-day présentes dans Mozilla Firefox et dans Windows. Faisons le point sur cette menace.
Les vulnérabilités exploitées par RomCom
La première faille de sécurité exploitée par les pirates est associée à la référence CVE-2024-9680. Il s'agit d'une faiblesse de type "use-after-free" présente dans la fonction "Animation timelines" du navigateur Mozilla Firefox. Son exploitation permet à l'attaquant d'exécuter du code dans la sandbox du navigateur. Mozilla a corrigé la vulnérabilité CVE-2024-9680 le 9 octobre 2024, alors qu'elle était déjà exploitée par les cybercriminels.
Le deuxième faille de sécurité exploitée dans ces attaques orchestrées par RomCom est présente dans le Planificateur de tâches de Windows et elle est associée à la référence CVE-2024-49039. Lorsqu'un attaquant exploite cette vulnérabilité, il peut exécuter du code en dehors de la sandbox de Mozilla Firefox, d'où l'intérêt de chainer l'exploitation de ces deux vulnérabilités. Cette zero-day a été corrigée par Microsoft le 12 novembre dernier, à l'occasion de la sortie du Patch Tuesday de novembre 2024.
Les attaques du groupe RomCom
Lors de récentes attaques, les pirates de RomCom ont pris pour cible les utilisateurs de Mozilla Firefox et de Tor Browser en Europe et en Amérique du Nord. Pour rappel, Tor Browser est un navigateur basé sur Firefox.
RomCom a exploité les deux vulnérabilités en tant que zero-day dans le but d'exécuter du code à distance sur des machines, sans nécessiter d'interaction de la part de l'utilisateur. Dans la pratique, la cible n'avait qu'à se rendre sur le site web contrôlé par l'attaquant pour exécuter le code malveillant. Cela avait pour effet de télécharger et d'exécuter une porte dérobée sur la machine de la victime.
"La chaîne de compromission est composée d'un faux site web qui redirige la victime potentielle vers le serveur hébergeant l'exploit. Si l'exploit réussit, un shellcode est exécuté qui télécharge et exécute la porte dérobée RomCom.", peut-on lire dans le rapport d'ESET.
À la fin du processus, l'utilisateur est redirigé vers un site web légitime, tel que connectwise[.]com, devolutions[.]net ou encore correctiv[.]org.
Une fois que la machine de l'utilisateur est infectée, l'attaquant peut exécuter des commandes à distance, et ainsi déployer d'autres payloads.
"Le nombre de cibles potentielles va d'une seule victime par pays à 250, selon les données télémétriques d'ESET", précise le rapport. La heatmap publiée par ESET montre que la France fait partie des pays les plus impactés.
Enfin, toujours d'après ESET, RomCom cible également des organisations en Ukraine, en Europe et en Amérique du Nord dans le cadre de campagnes d'espionnage. Les gouvernements sont ciblés ainsi que plusieurs secteurs d'activités : la défense, l'énergie, les produits pharmaceutiques et l'assurance.
