nnattalli - stock.adobe.com
Microsoft corrige des vulnérabilités activement exploitées
Le lot de correctifs de Microsoft pour le mois de mars 2023 comporte des correctifs pour des vulnérabilités activement exploitées, à des fins crapuleuses, mais pas uniquement.
Avec son lot de correctifs de mars, Microsoft a comblé deux failles décrites comme inédites, l’une affectant les systèmes Windows et l’autre Microsoft Outlook.
Au total, Microsoft a corrigé 84 CVE uniques, bien que quatre d’entre elles aient été rééditées. 9 CVE ont été jugées critiques. La plupart des mises à jour de sécurité concernent le système d’exploitation Windows ; l’application de la mise à jour cumulative résoudra la majeure partie des vulnérabilités de ce mois.
Une première vulnérabilité déjà exploitée à des fins crapuleuses
La vulnérabilité inédite, dite zero-day, de Windows permet de contourner la fonction de sécurité SmartScreen (CVE-2023-24880). Elle est notée de sévérité modérée pour les systèmes Windows de poste de travail et de serveur. Microsoft a indiqué que ce bogue avait également été divulgué publiquement. Cette faille a une note CVSS de 5.4 et nécessite une interaction de l’utilisateur pour en déclencher l’exploitation.
Mark of the Web (MOTW) est une fonction de sécurité de Windows qui marque le contenu copié à partir d’une source non fiable, telle qu’Internet. Les notes CVE de Microsoft indiquent que lorsque l’utilisateur tente d’exécuter un fichier, la fonction SmartScreen vérifie la présence d’un identifiant de zone dans le flux de données alternatif du fichier. Les fichiers téléchargés à partir d’Internet sont désignés par ZoneID=3, ce qui déclenche un contrôle de réputation dans SmartScreen. Un attaquant pourrait créer un fichier malveillant pour éviter le système MOTW et d’autres protections, telles que Protected View dans Microsoft Office.
La faible note CVSS et le niveau de gravité indiquent que ce bogue n’est pas en soi une menace majeure, mais qu’il pourrait être la dernière pièce dont un acteur de la menace a besoin pour construire une chaîne d’attaque composée de plusieurs vulnérabilités afin de s’emparer d’un système ciblé.
Et justement, Google vient de détailler, dans un billet de blog, la manière dont cette vulnérabilité CVE-2023-24880 est déjà exploitée pour distribuer le rançongiciel Magniber. Selon les équipes de Google, plus de 100 000 téléchargements de fichiers malicieux l’exploitant ont déjà été observés depuis le mois de janvier. Google a informé Microsoft de ses découvertes le 15 février. Mais les distributeurs de Magniber sont loin d’en être à leur coup d’essai pour contourner les mécanismes de sécurité de Microsoft.
Et une seconde par des acteurs plus furtifs
La deuxième vulnérabilité inédite corrigée cette semaine concerne Microsoft Outlook. Référencée CVE-2023-23397 et classée critique avec une note CVSS de 9.8, elle permet d’une élévation de privilèges et affecte plusieurs versions d’Outlook. Son exploitation ne nécessite pas que soit actif le volet de prévisualisation : « l’attaquant peut exploiter cette vulnérabilité en envoyant un courriel spécialement conçu qui se déclenche automatiquement lorsqu’il est récupéré et traité par le serveur de messagerie », indique Microsoft.
L’éditeur recommande de bloquer le trafic TCP 445/SMB sortant du réseau de l’organisation et d’ajouter des utilisateurs au groupe de sécurité Active Directory appelé Protected Users afin d’empêcher le vol d’informations d’identification par le biais d’attaques par relais NTLM.
C’est au CERT national d’Ukraine que l’on doit la découverte de la vulnérabilité CVE-2023-23397, explique Microsoft. Selon nos confrères de Bleeping Computer, cette vulnérabilité est exploitée activement par les services russes du groupe APT28 (aussi connu sous les désignations Strontium, Sednit, Sofacy et Fancy Bear) depuis bientôt un an, notamment pour viser des organisations européennes – au moins une douzaine l’aurait été.
Mais d’autres devraient rapidement se mettre à l’exploiter à leur tour : Dominic Chell, de MDSec, s’est penché sur les informations fournies par Microsoft et a découvert avec quelle facilité la vulnérabilité est susceptible d’être exploitée.