La faille zero-day non corrigée dans Windows utilisée pour cibler le sommet de l’OTAN

Au sein de son Patch Tuesday de juillet 2023, Microsoft évoque une faille de sécurité non patchée à ce jour et qui s'avère pourtant redoutable ! Dernièrement, des pirates ont tenté d'exploiter cette vulnérabilité pour cibler les participants au sommet de l'OTAN !

Même si Microsoft a mis en ligne de nouvelles mises à jour de sécurité pour Windows, Windows Server et d'autres de ses produits comme Microsoft Office, la faille de sécurité zero-day CVE-2023-36884 n'est pas corrigée à l'heure où ces lignes sont écrites.

Un attaquant non authentifié sur la machine cible peut exploiter cette vulnérabilité à distance à partir d'un document Office malveillant dans le but d'exécuter du code à distance sur la machine. Le bulletin de sécurité de Microsoft précise : "Un pirate peut créer un document Microsoft Office spécialement conçu pour lui permettre d'exécuter un code à distance dans le contexte de la victime. Cependant, il doit convaincre la victime d'ouvrir le fichier malveillant."

Dans un article plus complet qui évoque cette vulnérabilité et les campagnes d'attaques associées, Microsoft explique qu'au mois de juin dernier, les cybercriminels ont visé des organisations participant au sommet de l'OTAN à Vilnius, en Lituanie. Cet événement important a débuté hier et se termine aujourd'hui.

Pour cela, les cybercriminels ont mis en place une campagne de phishing en imitant l'identité du Congrès mondial ukrainien dans le but d'infecter les machines avec une porte dérobée présentant des similitudes avec RomCom. Parmi les destinataires de cette campagne, il y avait des entités gouvernementales et de défense d'Europe et d'Amérique du Nord. Voici un exemple d'e-mail :

À l'origine de cette attaque, un groupe de cybercriminels nommé RomCom, basé en Russie, et qui est adepte des attaques par ransomware, mais qui effectue aussi de la collecte de données, probablement dans le cadre de missions de renseignements.

Comment se protéger de cette faille de sécurité ?

Comme je le disais en introduction, il n'y a pas encore de correctif pour cette faille de sécurité, que faire ?

En attendant, Microsoft propose des mesures d'atténuation détaillées dans cet article. Voici ce que l'on peut lire :

• Les clients qui utilisent Microsoft Defender pour Office 365 sont protégés contre les pièces jointes qui tentent d'exploiter la CVE-2023-36884.
• Dans les chaînes d'attaque actuelles, l'utilisation de la règle de réduction de la surface d'attaque "Block all Office applications from creating child processes" empêche l'exploitation de la vulnérabilité
• Les organisations qui ne peuvent pas bénéficier de ces protections peuvent définir la clé de registre FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION pour éviter l'exploitation. Veuillez noter que si ces paramètres de registre permettent d'atténuer l'exploitation de ce problème, ils peuvent affecter le fonctionnement normal de ces applications, dans certains cas d'utilisation spécifiques.

Toutes les versions de Windows, Windows Server et Microsoft Office sont vulnérables à cette faille de sécurité.

A suivre (de près).

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio