Microsoft a publié mardi des mises à jour pour corriger un total de 132 nouvelles failles de sécurité couvrant son logiciel, dont six failles zero-day qui, selon lui, ont été activement exploitées dans la nature.
Sur les 132 vulnérabilités, neuf sont classées Critiques, 122 sont classées Importantes en termes de gravité et une s’est vue attribuer une note de gravité « Aucune ». Cela s’ajoute à huit défauts que le géant de la technologie a corrigés dans son navigateur Edge basé sur Chromium vers la fin du mois dernier.
La liste des problèmes qui ont fait l’objet d’une exploitation active est la suivante –
- CVE-2023-32046 (Score CVSS : 7,8) – Vulnérabilité d’élévation des privilèges de la plate-forme Windows MSHTML
- CVE-2023-32049 (Score CVSS : 8,8) – Vulnérabilité de contournement de la fonctionnalité de sécurité Windows SmartScreen
- CVE-2023-35311 (Score CVSS : 8,8) – Vulnérabilité de contournement de la fonctionnalité de sécurité de Microsoft Outlook
- CVE-2023-36874 (Score CVSS : 7,8) – Vulnérabilité d’élévation des privilèges du service de rapport d’erreurs Windows
- CVE-2023-36884 (score CVSS : 8,3) – Vulnérabilité d’exécution de code à distance HTML dans Office et Windows (également connue publiquement au moment de la publication)
- ADV230001 – Utilisation malveillante de pilotes signés Microsoft pour l’activité de post-exploitation (pas de CVE attribué)
Le fabricant de Windows a déclaré qu’il était au courant d’attaques ciblées contre des entités de défense et gouvernementales en Europe et en Amérique du Nord qui tentent d’exploiter CVE-2023-36884 en utilisant des leurres de documents Microsoft Office spécialement conçus liés au Congrès mondial ukrainien, faisant écho aux dernières découvertes de BlackBerry. .
« Un attaquant pourrait créer un document Microsoft Office spécialement conçu qui lui permet d’exécuter du code à distance dans le contexte de la victime », a déclaré Microsoft. « Cependant, un attaquant devrait convaincre la victime d’ouvrir le fichier malveillant. »
La société a signalé la campagne d’intrusion à un groupe cybercriminel russe qu’elle suit sous le nom de Storm-0978, également connu sous les noms de RomCom, Tropical Scorpius, UNC2596 et Void Rabisu.
« L’acteur déploie également le ransomware Underground, qui est étroitement lié au ransomware Industrial Spy observé pour la première fois dans la nature en mai 2022 », a expliqué l’équipe Microsoft Threat Intelligence. « La dernière campagne de l’acteur détectée en juin 2023 impliquait un abus de CVE-2023-36884 pour fournir une porte dérobée présentant des similitudes avec RomCom. »
Les récentes attaques de phishing organisées par l’acteur ont entraîné l’utilisation de versions trojanisées de logiciels légitimes hébergés sur des sites Web similaires pour déployer un cheval de Troie d’accès à distance appelé RomCom RAT contre diverses cibles ukrainiennes et pro-ukrainiennes en Europe de l’Est et en Amérique du Nord.
Alors que RomCom a été enregistré pour la première fois en tant que groupe lié au rançongiciel cubain, il a depuis été lié à d’autres souches de rançongiciels telles que Industrial Spy ainsi qu’à une nouvelle variante appelée Underground à partir de juillet 2023, qui présente d’importants chevauchements de code source avec Industry Spy.
Microsoft a déclaré qu’il avait l’intention de prendre « les mesures appropriées pour aider à protéger nos clients » sous la forme d’une mise à jour de sécurité hors bande ou via son processus de publication mensuel. En l’absence d’un correctif pour CVE-2023-36884, la société exhorte les utilisateurs à utiliser la règle de réduction de la surface d’attaque (ASR) « Bloquer toutes les applications Office de la création de processus enfants ».
Redmond a en outre déclaré avoir révoqué les certificats de signature de code utilisés pour signer et installer des pilotes malveillants en mode noyau sur des systèmes compromis en exploitant une faille de la politique Windows pour modifier la date de signature des pilotes avant le 29 juillet 2015, en utilisant des outils open source comme HookSignTool et FuckCertVerifyTimeValidity.
Les résultats suggèrent que l’utilisation de pilotes en mode noyau escrocs gagne du terrain parmi les acteurs de la menace car ils opèrent au niveau de privilège le plus élevé sur Windows, permettant ainsi d’établir une persistance pendant de longues périodes tout en interférant simultanément avec le fonctionnement des logiciels de sécurité. pour échapper à la détection.
On ne sait pas actuellement comment les autres failles sont exploitées et dans quelle mesure ces attaques se propagent. Mais à la lumière des abus actifs, il est recommandé aux utilisateurs d’appliquer rapidement les mises à jour pour atténuer les menaces potentielles.
Correctifs logiciels d’autres fournisseurs
En plus de Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs au cours des dernières semaines pour corriger plusieurs vulnérabilités, notamment —
