Résumé
Description de la vulnérabilité
Dans le cadre de son Patch Tuesday, en date du 11 juillet 2023,
Microsoft a indiqué l'existence d'une vulnérabilité référencée
CVE-2023-36884 [1] au sein de plusieurs versions de Windows et
produits Office. Un score CVSSv3 de 8.3 lui a été attribué.
L'éditeur confirme qu'elle est activement exploitée de façon ciblée
[2].
La vulnérabilité CVE-2023-36884 permet à un attaquant d'exécuter du code
arbitraire à distance dans le contexte utilisateur à l'aide d'un
document Microsoft Office spécialement conçu, préalablement transmis à
l'aide de technique d'ingénierie sociale.
Le CERT-FR recommande fortement de mettre en œuvre les moyens
d'atténuation proposés par l'éditeur en attendant la publication d'un
correctif.
Cette alerte sera mise à jour de façon régulière au gré des nouveaux
éléments qui nous seront communiqués.
Campagne d'exploitation
La CVE-2023-36884 aurait été exploitée, d’après Microsoft [4], par le
mode opératoire Storm-0978 lors d’une campagne en juin 2023 contre des
entités gouvernementales et du secteur de la défense européennes et
nord-américaines à des fins d’espionnage. Le code malveillant utilisé
par les attaquants suite à l’exploitation de cette vulnérabilité,
présenterait des similarités avec la porte dérobée RomCom.
RomCom est un code malveillant découvert en août 2022 par PaloAlto
[5], qui aurait été utilisé depuis octobre 2022 dans des campagnes
d’espionnage contre des entités gouvernementales et militaires
ukrainiennes ([6], [7]), et des entités des secteurs du
gouvernement, de la défense, de la santé, des services numériques et de
la logistique dans certains pays d’Europe et d’Amérique du Nord ([7],
[8], [9], [10], [11], [4]).
Le code malveillant RomCom a été associé au groupe cybercriminel Cuba
par plusieurs éditeurs de sécurité [5], [12]. Cuba est notamment
connu pour avoir revendiqué l’attaque par rançongiciel contre le
gouvernement du Monténégro en août 2022 [13].