Nmedia - Fotolia
Office : une faille inédite utilisée depuis plusieurs mois
Corrigée dans le lot de correctifs de Microsoft de ce mardi 11 avril, la faille CVE-2017-0199 affectant Office s’avère utilisée depuis plusieurs mois avec des objectifs très variés.
Ce mardi 11 avril, Microsoft a entamé la distribution d’un correctif pour une importante vulnérabilité affectant Office - depuis sa version 2007 - mais aussi WordPad, depuis Windows Vista. Référencée CVE-2017-0199, elle permet à un attaquant d’exécuter à distance du code logiciel sur les machines compromises.
Proofpoint a pu constater son exploitation par le truchement de fichiers RTF joints à des messages électroniques. Dans un billet de blog, l’éditeur explique avoir été là le témoin d’une « veste campagne de distribution du cheval de Troie bancaire Dridex ». McAfee indiquait quelques jours plus tôt avoir lui-même observé l’exploitation de cette vulnérabilité, mais sans préciser pour quels types d’attaque. Même chose pour FireEye.
Mais pour ce dernier, l’exploitation de CVE-2017-0199 par les opérateurs de Dridex n’a commencé que récemment, après que la vulnérabilité a été dévoilée le 7 avril dernier. Selon FireEye, d’autres acteurs l’ont mise à profit bien avant cela.
Dans un billet de blog, deux de ses chercheurs indiquent ainsi « estimer avec une confiance modérée » que la vulnérabilité a été exploitée « par des acteurs à motivation financière et des acteurs de type état-nation avant sa divulgation ». En fait, elle aurait été utilisée pour déployer le logiciel espion FinSpy dès le mois de janvier, visant des cibles russophones.
Début mars, FireEye a également constaté l’utilisation de la vulnérabilité CVE-2017-0199 pour déployer le logiciel malveillant LatentBot, capable notamment de dérober des identifiants, mais également de corrompre les ressources de stockage interne des machines compromises. En décembre 2015, FireEye faisait état de campagnes visant différents secteurs économiques aux Etats-Unis, au Royaume-Uni, en Corée du Sud, au Brésil, aux Emirats Arabes Unis, à Singapour, au Canada, au Pérou et en Pologne. A l’époque, il soulignait les efforts de furtivité mis en œuvre par les opérateurs d’un logiciel malveillant qui serait actif depuis la mi-2013.
Depuis le 10 avril, les opérateurs de l’infrastructure utilisée fin janvier pour distribuer Latentbot auraient migré vers un autre logiciel malveillant, Terdot, qui assure le téléchargement, sur le poste compromis, d’une variante du célèbre Zeus.
Mais FireEye relève en outre que les documents utilisés pour les campagnes de distribution de FinSpy et de LatentBot ont été créés à l’automne dernier, probablement par le même groupe. De fait, la vulnérabilité CVE-2017-0199 semble être connue depuis plusieurs longs mois. Sur Twitter, le consultant Ryan Hanson revendique ainsi sa découverte en juillet 2016. Il indique l’avoir communiquée à Microsoft en octobre dernier - alors qu’elle n’était pas encore exploitée - et estime « qu’elle a été divulguée publiquement par quelqu’un d’autre ». Ryan Hanson explique en outre avoir attendu pour informer Microsoft parce qu’il travaillait en parallèle « à un contournement de la fonctionnalité Protected View et sur un bug affectant Outlook » et souhaitait communiquer les trois en même temps, dans l’espoir de décrocher une compensation plus élevée.