Microsoft Windows et Office : découverte de la vulnérabilité CVE-2023-36884 activement exploitée de façon ciblée
Publié le 13 juillet 2023
Le mardi 11 juillet 2023, dans le cadre de son Patch Tuesday, Microsoft a annoncé l'existence d'une vulnérabilité référencée CVE-2023-36884 au sein de plusieurs versions de Windows et produits Office. Un score CVSSv3 de 8.3 (haut) lui a été attribué.
Microsoft, l'éditeur des produits touchés, confirme que la vulnérabilité a été activement exploitée de façon ciblée. Aucun correctif n'est actuellement disponible mais des moyens d'atténuation ont été proposés.
Description de la vulnérabilité
[modifier | modifier le wikicode]La vulnérabilité CVE-2023-36884 permet à un attaquant d'exécuter du code arbitraire à distance dans le contexte utilisateur à l'aide d'un document Microsoft Office.
En des termes moins techniques, un problème de sécurité avec les produits Microsoft Office permet à l'attaquant d'exécuter à distance du code dans un appareil, à travers un document spécialement conçu et préalablement transmis à l'aide de technique d'ingénierie sociale. Un attaquant pourrait créer un document Microsoft Office spécialement conçu qui lui permettrait d’exécuter du code à distance dans l'appareil de la victime, cependant, l'attaquant devrait convaincre la victime d’ouvrir le fichier malveillant.
Produits et systèmes affectés
[modifier | modifier le wikicode]Les systèmes affectés par la vulnérabilité CVE-2023-36884 sont :
- Windows 10 Version 1607 pour systèmes 32 bits
- Windows 10 Version 1607 pour systèmes x64
- Windows 10 Version 1809 pour systèmes 32 bits
- Windows 10 Version 1809 pour systèmes ARM64
- Windows 10 Version 1809 pour systèmes x64
- Windows 10 Version 21H2 pour systèmes 32 bits
- Windows 10 Version 21H2 pour systèmes ARM64
- Windows 10 Version 21H2 pour systèmes x64
- Windows 10 Version 22H2 pour systèmes 32 bits
- Windows 10 Version 22H2 pour systèmes ARM64
- Windows 10 Version 22H2 pour systèmes x64
- Windows 10 pour systèmes 32 bits
- Windows 10 pour systèmes x64
- Windows 11 Version 22H2 pour systèmes ARM64
- Windows 11 Version 22H2 pour systèmes x64
- Windows 11 version 21H2 pour systèmes ARM64
- Windows 11 version 21H2 pour systèmes x64
- Windows Server 2008 R2 pour systèmes x64 Service Pack 1
- Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (Server Core installation)
- Windows Server 2008 pour systèmes 32 bits Service Pack 2
- Windows Server 2008 pour systèmes 32 bits Service Pack 2 (Server Core installation)
- Windows Server 2008 pour systèmes x64 Service Pack 2
- Windows Server 2008 pour systèmes x64 Service Pack 2 (Server Core installation)
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server 2022
- Windows Server 2022 (Server Core installation)
Les produits Office affectés par la vulnérabilité CVE-2023-36884 sont :
- Microsoft Office 2019 pour éditions 32 bits
- Microsoft Office 2019 pour éditions 64 bits
- Microsoft Office LTSC 2021 pour éditions 32 bits
- Microsoft Office LTSC 2021 pour éditions 64 bits
- Microsoft Word 2013 Service Pack 1 (éditions 32 bits)
- Microsoft Word 2013 Service Pack 1 (éditions 64 bits)
- Microsoft Word 2016 (édition 32 bits)
- Microsoft Word 2016 (édition 64 bits)
Moyens d'atténuation
[modifier | modifier le wikicode]Microsoft a proposé plusieurs moyens d'atténuation de la vulnérabilité :
« Solutions d'atténuation :
- Les clients qui utilisent Microsoft Defender pour Office sont protégés contre les pièces jointes qui tentent d’exploiter cette vulnérabilité.
- Dans les chaînes d’attaque actuelles, l’utilisation de la règle de réduction de la surface d’attaque Empêcher toutes les applications Office de créer des processus enfants empêchera l’exploitation de la vulnérabilité.
- Les organisations qui ne peuvent pas tirer parti de ces protections peuvent définir la clé de Registre FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION pour éviter l’exploitation. Aucun redémarrage du système d’exploitation n’est requis, mais le redémarrage des applications auxquelles la clé de Registre a été ajoutée est recommandé au cas où la valeur aurait déjà été interrogée et serait mise en cache. Veuillez noter que même si ces paramètres de registre atténuent l’exploitation de ce problème, ils peuvent affecter les fonctionnalités régulières de certains cas d’utilisation liés à ces applications. Pour cette raison, nous suggérons de tester. Pour désactiver l’atténuation, supprimez la clé de Registre ou définissez-la sur « 0 ».
- Ajouter les noms d’application suivants à cette clé de Registre en tant que valeurs de type REG_DWORD avec data 1. : « Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION »
- Excel.exe
- Graphique.exe
- MSAccess.exe
- MSPub.exe
- Powerpnt.exe
- Visio.exe
- WinProj.exe
- WinWord.exe
- Wordpad.exe »
— Microsoft Security Response Center (MSRC)
La vulnérabilité activement exploitée de façon ciblée
[modifier | modifier le wikicode]Selon Microsoft, la vulnérabilité CVE-2023-36884 aurait été exploitée via des documents Word par le groupe cybercriminel Storm-0978 (également appelé RomCom ou DEV-0978) basé en Russie connu pour mener des opérations opportunistes (de rançongiciel et d’extorsion) ainsi que des campagnes ciblées de collecte d’informations d’identification (probablement à l’appui d’opérations de renseignement). L'attaque aurait eu lieu en juin 2023 contre des entités gouvernementales et du secteur de la défense européennes et nord-américaines à des fins d’espionnage.
Storm-0978 aurait installé des portes dérobées aux organisations ciblées et pourrait voler des informations d’identification à utiliser dans des opérations ciblées ultérieures. L’activité de rançongiciel du groupe cybercriminel, en revanche, a été largement de nature opportuniste et entièrement distincte des cibles axées sur l’espionnage.
Les attaques identifiées ont eu un impact sur les secteurs des télécommunications et de la finance.
Storm-0978 aurait mené une campagne de hameçonnage contenant un faux dossier Microsoft OneDrive pour fournir une porte dérobée présentant des similitudes avec RomCom, un rançongiciel. Les courriels de hameçonnage étaient adressés à des entités de défense et gouvernementales en Europe et en Amérique du Nord, avec des leurres liés au Congrès mondial ukrainien. Ces e-mails ont conduit à une exploitation via la vulnérabilité CVE-2023-36884.
Recommendation du CERT-FR
[modifier | modifier le wikicode]Dans un bulletin d'alerte publié le 12 juillet 2023, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) a fortement recommandé de « mettre en œuvre les moyens d'atténuation proposés par l'éditeur en attendant la publication d'un correctif ».
Réponse de Microsoft
[modifier | modifier le wikicode]Sur le site du Microsoft Security Response Center, l'éditeur des produits touchés rassure : « À l’issue de cette enquête, Microsoft prendra les mesures appropriées pour protéger ses clients. Cela peut inclure la fourniture d’une mise à jour de sécurité via notre processus de publication mensuelle ou la fourniture d’une mise à jour de sécurité hors cycle, selon les besoins du client. ».
Sources
[modifier | modifier le wikicode]- ((fr)) – « CERTFR-2023-ALE-006 : Vulnérabilité dans les produits Microsoft ». Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, 12 juillet 2023.
- ((en)) – « CVE-2023-36884 - Security Update Guide - Microsoft - Office and Windows HTML Remote Code Execution Vulnerability ». Microsoft, .
- ((en)) – « Storm-0978 attacks reveal financial and espionage motives ». Microsoft, 11 juillet 2023.