BlackBerry : Protection clients contre l’exécution de code à distance de Microsoft Office et Windows HTML

BlackBerry : Protection clients contre l’exécution de code à distance de Microsoft Office et Windows HTML

560 420 2SB - Distributeur à valeur ajoutée - Solutions de Cybersécurité

Les acteurs de la menace à l’origine du RAT (cheval de Troie d’accès à distance) RomCom intensifient l’utilisation d’une vulnérabilité de Microsoft pour cibler les entités gouvernementales occidentales et les personnes impliquées dans le soutien à l’Ukraine.

Dans cette dernière série d’activités d’attaques, le groupe de menace RomCom soutenu par la Russie (également appelé Storm-0978 par d’autres fournisseurs) a exploité une vulnérabilité connue, d’exécution de code à distance (RCE) de Microsoft® Office et Windows® HTML, CVE-2023-36884.
Microsoft a confirmé les détails de cette campagne, initialement découverte par l’équipe BlackBerry Threat Research and Intelligence, qui a utilisé des techniques de spear-phishing pour cibler des personnes du secteur de la défense et du gouvernement qui prévoyaient d’assister à un récent sommet de l’OTAN à Vilnius.

La CISA émet une directive

En réponse à ces attaques, la Cybersecurity and Infrastructure Security Agency (CISA) a publié une directive opérationnelle contraignante (BOD 22-01), qui exige que les agences fédérales civiles de l’exécutif des États-Unis (FCEB) sécurisent les dispositifs Windows sur leurs réseaux contre les exploits CVE-2023-36884 d’ici le 8 août 2023.
Microsoft a déclaré qu’elle prendrait les mesures d’atténuation appropriées, qui pourraient inclure la disponibilité d’une mise à jour de sécurité dans le cadre de son processus de publication mensuel ou la fourniture d’une mise à jour de sécurité hors cycle.

Lorsque la vulnérabilité est exploitée, un attaquant peut créer un document Microsoft Office spécialement conçu qui lui permet d’exécuter un code à distance sur la machine de la victime une fois que le document est ouvert.
Cette méthode est la “porte d’entrée” (gateway) de nombreuses activités malveillantes, notamment l’exfiltration de données, la collecte d’informations d’identification, le rançonnement ou le vol d’informations à des fins de renseignement et de cyber-espionnage.

RomCom exploite la vulnérabilité de Windows

BlackBerry a découvert la campagne d’hameçonnage (phishing) de RomCom la semaine précédant le sommet de l’OTAN et a immédiatement partagé ces informations y compris les IoC (indicateurs de compromission) avec les agences gouvernementales concernées plusieurs jours avant de publier un rapport public le 8 juillet. L’annonce de la vulnérabilité a été faite par Microsoft trois jours plus tard, le 11 juillet.
D’après la télémétrie des cybermenaces de BlackBerry, l’analyse des données du réseau et l’ensemble des cyberarmes recueillies par l’équipe, il semble que RomCom ait effectué ses premiers exercices de test le 22 juin, puis quelques jours avant que la commande et le contrôle (C2) malveillants utilisés dans cette campagne ne soient enregistrés et mis en service.

Lorsque l’équipe a approfondi cette campagne, les chercheurs de BlackBerry ont trouvé deux documents malveillants envoyés à partir d’une adresse IP en Hongrie, envoyés comme appâts à une organisation soutenant l’Ukraine à l’étranger, et un document ciblant les invités du sommet de l’OTAN qui pourraient également soutenir l’Ukraine.
La technique d’infection utilisée dans le document est l’exploitation RTF, avec des connexions sortantes initiées à partir de la machine de la victime une fois que la cible ouvre le document.

Les courriels de spear-phishing encourageaient leurs victimes à cliquer sur un lien qui les envoyait vers une réplique spécialement conçue du site web du Congrès mondial ukrainien, exploitant la CVE-2023-36884 pour délivrer une charge utile malveillante qui permet l’exécution de code à distance.
Le faux site du Congrès mondial ukrainien était hébergé sur une URL presque identique à la véritable URL : Le domaine légitime est ukrainianworldcongress.org, tandis que l’URL du domaine malveillant est ukrainianworldcongress[.]info.
Il s’agit d’une technique connue sous le nom de “typosquatting“, dans laquelle l’auteur de la menace compte sur le fait que la victime ne remarque pas que le lien sur lequel elle clique est légèrement différent de l’URL officielle du site qu’elle a l’intention de visiter.

BlackBerry protège ses clients contre la vulnérabilité d’exécution de code à distance de Microsoft Office et Windows HTML

BlackBerry a vérifié que son logiciel de cybersécurité, alimenté par Cylance AI, protège contre ces vulnérabilités.
CylancePROTECT® condamne les charges utiles connues pour être associées à ces attaques.
Comme précaution supplémentaire, tous les hachages connus ont été ajoutés à la liste noire mondiale (GBL) de BlackBerry pour assurer une défense en profondeur.

BlackBerry a également rédigé une règle CylanceOPTICS® personnalisée pour aider à la détection des attaques qui tentent d’exploiter cette vulnérabilité.
Les clients de BlackBerry peuvent télécharger cette règle via “myAccount“, en accédant à l’article (000111707) de la base de connaissances Office and Windows HTML Remote Code Execution Vulnerability (CVE-2023-36884) Optics Rule.

De plus, BlackBerry recommande aux clients concernés par cette vulnérabilité de suivre les recommandations fournies par le Microsoft Security Response Center dans son post, intitulé “Office and Windows HTML Remote Code Execution Vulnerability”, afin de réduire le risque pour tous les systèmes potentiellement affectés.

Enfin, il va sans dire que le moyen le plus simple d’éviter les attaques lancées par des techniques de spear-phishing et de typosquatting est de ne jamais cliquer sur un lien envoyé dans un courrier électronique, même si celui-ci semble provenir d’une source légitime.
Tapez toujours l’adresse du site web que vous souhaitez visiter directement dans votre navigateur, ou mettez le lien officiel dans vos favoris.
Examinez attentivement les liens tapés à la main pour éviter les fautes de frappe qui peuvent conduire à des sites web compromis ou falsifiés (” .cm ” au lieu de ” .com ” est la faute de frappe la plus régulièrement exploitée, selon cette alerte publiée par KrebsOnSecurity).
Les organisations devraient enseigner ce conseil simple à tous leurs employés dans le cadre de l’hygiène générale de la sécurité.

BlackBerry Assistance

Si vous ou votre organisation avez été compromis par l’un des codes malveillants ou activités mentionnés dans ce post, veuillez contacter l’équipe de réponse aux incidents de BlackBerry ou nous contacter directement.
L’équipe peut travailler avec des organisations de toute taille et de tout secteur vertical, pour évaluer et améliorer votre posture de sécurité des points d’extrémité et maintenir de manière proactive la sécurité, l’intégrité et la résilience de votre infrastructure de réseau.

Source : BlackBerry

Plus d’informations concernant les solutions :