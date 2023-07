Microsoft détaille les attaques alarmantes de type "Zero-Day" ciblant Office et diffuse des correctifs de sécurité.



Le traditionnel Patch Tuesday de Microsoft est arrivé, apportant avec lui une série de correctifs de sécurité pour 130 vulnérabilités et deux avis publiés. Cette mise à jour arrive à point nommé, car des acteurs menaçants ont exploité certaines de ces vulnérabilités à des fins d'espionnage contre des organisations de défense et des organisations gouvernementales en Europe et en Amérique du Nord.







Parmi les nombreux correctifs proposés par Microsoft pour le Patch Tuesday figure la CVE-2023-36884, une "vulnérabilité d'exécution de code à distance pour Office et Windows HTML". Sur l'échelle de 10 du Common Vulnerability Scoring System (CVSS), cette vulnérabilité est notée 8,3, ce qui la rend assez grave. En effet, "un attaquant pourrait créer un document Microsoft Office spécialement conçu pour lui permettre d'exécuter du code à distance dans le contexte de la victime". La seule condition est que le pirate doit amener la victime à ouvrir le document Office malveillant. Or, il semble que cela se produise dans la nature.







Dans un autre billet de blog, Microsoft a indiqué avoir identifié une campagne de phishing menée par un groupe d'acteurs de la menace appelé Storm-0978, également connu sous le nom de DEV-0978 ou RomCom. Ce groupe de cybercriminels basé en Russie est traditionnellement connu pour ses opérations de ransomware et d'extorsion, ainsi que pour la collecte d'informations d'identification dans le cadre d'opérations de renseignement extérieures. Le groupe est également appelé RomCom en raison du programme de porte dérobée installé sur les appareils des victimes qui porte le même nom.



Cette campagne récemment découverte par le groupe aurait tourné autour de la CVE-2023-36884 afin de mettre en place une porte dérobée de type RomCom. Les acteurs de la menace envoyaient des courriels et des documents malveillants relatifs au Congrès mondial ukrainien afin de cibler principalement les organismes militaires et gouvernementaux européens et de leur fournir une charge utile. Toutefois, ce n'est pas la première fois que le groupe est associé à de tels efforts. Récemment, des chercheurs de Blackberry ont découvert que le groupe ciblait des invités au sommet de l'OTAN susceptibles de fournir une aide à l'Ukraine. Toutefois, ces campagnes étaient principalement associées à la vulnérabilité Follina (CVE-2022-30190) de l'année dernière.



Si vous pensez que vous risquez d'être exploité, Microsoft Defender pour Office 365 devrait vous protéger contre les pièces jointes destinées à exploiter la vulnérabilité. Sinon, les administrateurs peuvent également empêcher toutes les applications Office de créer des processus enfants ou définir la clé de registre "FEATURE_BLOCK_CROSS_PROTOCOL_-FILE_NAVIGATION" pour qu'elle reste sécurisée. Bien entendu, vous pouvez également mettre à jour votre système avec la dernière mise à jour Patch Tuesday, qui corrige apparemment le problème et rend la vie un peu plus facile.



HOTHARDWARE