Posté le décembre 24, 2021 à 6:53
LES ATTAQUANTS CONTOURNENT LE CORRECTIF DE SÉCURITÉ RELATIF À LA FAILLE MSHTML
Des recherches ont révélé une campagne de phishing mettant en œuvre des exploits qui ont réussi à contourner un correctif de sécurité installé par Microsoft. Le correctif en question était utilisé pour corriger une vulnérabilité dans l’exécution de code à distance. L’exploit a été réalisé pour diffuser le logiciel malveillant Formbook aux utilisateurs.
Cet exploit a révélé que les hackers suffisamment motivés et dotés de compétences solides peuvent toujours contourner les correctifs de sécurité mis en place.
Des hackers contournent le correctif de sécurité de Microsoft
Les chercheurs des SophosLabs, Andrew Brandt et Stephen Ormandy, ont publié un rapport sur cet exploit, déclarant que « les pièces jointes représentent une escalade de l’abus par l’attaquant du bug CVE-2021-40444 et démontrent que même un patch ne peut pas toujours réduire les actions d’un attaquant motivé et suffisamment compétent. »
Microsoft a identifié une faille de sécurité dans MSHTML, CVE-2021-40444, avec un score CVSS de 8.8. Cette vulnérabilité peut être exploitée à l’aide de documents Microsoft Office spécialement créés.
En septembre 2021, Microsoft a identifié cette faille de sécurité et publié un correctif dans ses mises à jours « Patch Tuesday ». Cependant, après que Microsoft ait porté cette faiblesse à la connaissance du public, elle a été exploitée par plusieurs hackers pour lancer une série d’attaques.
En septembre, Microsoft a également identifié une autre campagne de phishing ciblée. Cette campagne d’hameçonnage a exploité cette vulnérabilité pour exécuter des balises Cobalt Strike sur les systèmes Windows qui ont été compromis.
En novembre, un rapport publié par les laboratoires SafeBreach a encore montré comment les acteurs de la menace utilisaient cette vulnérabilité pour des attaques ciblées. Le rapport indiquait qu’un acteur iranien ciblait des victimes parlant farsi. L’attaquant a utilisé un nouveau voleur d’informations PowerShell pour collecter des données personnelles sensibles auprès des victimes ciblées.
Bien que la vulnérabilité ait déjà été corrigée, le rapport de Sophos examine comment les hackers ont réussi à contourner les mesures de sécurité introduites par le correctif. Les hackers ont réussi à le faire en transformant une preuve de concept de l’exploitation d’Office qui était publiquement disponible. Ils l’ont ensuite configuré pour répandre le logiciel malveillant Formbook.
Sophos Labs a noté que l’attaque avait été conçue par un attaquant compétent. Cependant, le rapport note que l’attaquant aurait pu réussir à contourner ce correctif parce qu’il était « trop étroitement ciblé ».
Les chercheurs expliquent également que « dans les versions initiales des exploits CVE-2021-40444, [le] document Office malveillant récupérait une charge utile de logiciel malveillant emballée dans un fichier Microsoft Cabinet (ou .CAB). Lorsque le correctif de Microsoft a comblé cette lacune, les attaquants ont découvert qu’ils pouvaient utiliser une chaîne d’attaque totalement différente en enfermant le maldoc dans une archive RAR spécialement conçue. »
L’exploit n’a été actif que pendant 36 heures
Les chercheurs ont constaté que l’exploit modifié n’est resté actif que pendant 36 heures entre le 24 et le 25 octobre. Pendant cette période, des spams contenant des fichiers d’archives avec le RAR malformé ont été distribués aux victimes ciblées.
Le fichier RAR envoyé dans l’e-mail contenait un script développé dans Windows Script Host (WSH). Il contenait également un document Microsoft Word. Une victime ciblée qui ouvrait ce document voyait son appareil entrer en contact avec un serveur distant qui contenait du JavaScript malveillant.
Le code JavaScript utilisé dans l’attaque a exploité le document Word en l’utilisant comme lien pour lancer le script WSH. Cela a permis l’exécution d’une commande PowerShell sous-jacente dans le fichier RAR. Ensuite, le logiciel malveillant Formbook a été récupéré sur un site Web contrôlé par le hacker.
La recherche n’a pas donné d’indices sur la raison pour laquelle l’exploit a disparu après 36 heures d’utilisation. Cependant, certains chercheurs ont expliqué que cela pourrait être dû à la capacité de fonctionnement des fichiers d’archives RAR modifiés. Ces fichiers ne pouvaient pas fonctionner avec les versions précédentes de l’utilitaire WinRAR.
Par conséquent, les utilisateurs qui n’avaient pas mis à jour leur WinRAR mais utilisaient des versions plus anciennes étaient protégés de l’attaque, par rapport aux utilisateurs qui utilisaient une version plus récente. L’étude conclut en rappelant aux utilisateurs qu’un correctif seul ne peut pas les protéger contre les vulnérabilités futures.
Un chercheur principal des Sophos Labs, Andrew Brandt, a fait remarquer que la définition de restrictions pour les utilisateurs ne peut pas les protéger contre l’installation accidentelle de logiciels malveillants sur leurs appareils en ouvrant les documents qui leur sont envoyés. Il a également noté que ceux qui n’ouvrent pas un document malveillant peuvent toujours être ciblés en utilisant le « bouton d’activation du contenu ».
M. Brandt a ajouté qu' »il est donc d’une importance vitale d’éduquer les employés et de leur rappeler de se méfier des documents envoyés par e-mail, en particulier lorsqu’ils arrivent dans des formats de fichiers compressés inhabituels ou non familiers, provenant de personnes ou d’entreprises qu’ils ne connaissent pas. »
Microsoft n’a pas encore publié de déclaration officielle concernant cet exploit. Cependant, l’un des représentants de l’entreprise a déclaré : « Nous enquêtons sur ces rapports et prendrons les mesures appropriées si nécessaire pour protéger nos clients. »