fresnel6 - Fotolia
Microsoft : une vulnérabilité critique exploitée par un groupe aux motivations multiples
Microsoft alerte sur une vulnérabilité critique utilisée par Storm-0978, ou RomCom, lié au disparu Industrial Spy et au tout nouveau Underground, mais suspecté de pratiquer l’espionnage en plus de l’extorsion.
Microsoft a profité de la publication de lot de correctifs mensuel, le Patch Tuesday, pour lever le voile sur une vulnérabilité qui n’a pas encore reçu de correctif mais s’avère déjà exploitée.
Référencée CVE-2023-26884, cette vulnérabilité peut permettre à un attaquant de forcer l’exécution de code arbitraire à distance, sur l’ordinateur Windows de sa victime, via un document Word.
Pour l’heure, cette vulnérabilité n’a pas encore fait l’objet d’un correctif. Mais Microsoft précise que les clients de Defender for Office 365 sont protégés contre son exploitation, de même que ceux qui utilisent les Microsoft 365 Apps, à partir des versions 2302. Les autres peuvent définir la clé de registre FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION. Dans un billet de blog, Microsoft détailletoutes les mesures préventives à adopter.
De l’extorsion…
Dans ce même billet, l’éditeur explique associer l’exploitation de cette vulnérabilité aux activités d’un groupe suivi sous la désignation Storm-0978, aussi appelé RomCom par d’autres éditeurs, d’après le nom donné à la porte dérobée qu’il utilise.
Microsoft le décrit comme « un groupe de cybercriminels basé en Russie, connu pour mener des opérations opportunistes de ransomware et d'extorsion uniquement, ainsi que des campagnes ciblées de collecte d'informations d'identification, probablement à l'appui d'opérations de renseignement ».
L’éditeur l’associe notamment aux activités de la place de marché aussi fermée Industrial Spy. En 2022, elle avait notamment été utilisée pour mettre en vente des données attribuées à la SATT du Sud-Est, au groupement hospitalier Cœur Grand Est, ou encore Idex.
Storm-0978 serait également impliqué dans les activités d’un rançongiciel tout récemment apparu, Underground : « la similitude de code entre les deux variantes de ransomware, ainsi que l'implication antérieure de Storm-0978 dans les opérations d'Industrial Spy, pourraient indiquer qu'Underground est un changement de marque du ransomware Industrial Spy ».
… à l’espionnage
Mais selon Microsoft, ce groupe ne se contente pas d’activités crapuleuses : il conduit aussi des opérations de cyber-espionnage. Ainsi, l’éditeur indique que « Storm-0978 a acquis des exploits ciblant des vulnérabilités de type "zero-day". Les activités d'exploitation identifiées comprennent l'utilisation abusive de CVE-2023-36884, y compris une vulnérabilité d'exécution de code à distance exploitée via des documents Microsoft Word en juin 2023, ainsi que l'utilisation abusive de vulnérabilités contribuant à un contournement de la fonction de sécurité ».
Là, en juin 2023, Storm-0978 a conduit une campagne de hameçonnage visant « des entités gouvernementales et de défense en Europe et en Amérique du Nord, avec des appâts liés au Congrès mondial ukrainien. Ces courriels ont conduit à l'exploitation de la vulnérabilité CVE-2023-36884 ».