Objet: Vulnérabilité dans les produits Microsoft

Systèmes affectés

• Windows 10 Version 1607 pour systèmes 32 bits
• Windows 10 Version 1607 pour systèmes x64
• Windows 10 Version 1809 pour systèmes 32 bits
• Windows 10 Version 1809 pour systèmes ARM64
• Windows 10 Version 1809 pour systèmes x64
• Windows 10 Version 21H2 pour systèmes 32 bits
• Windows 10 Version 21H2 pour systèmes ARM64
• Windows 10 Version 21H2 pour systèmes x64
• Windows 10 Version 22H2 pour systèmes 32 bits
• Windows 10 Version 22H2 pour systèmes ARM64
• Windows 10 Version 22H2 pour systèmes x64
• Windows 10 pour systèmes 32 bits
• Windows 10 pour systèmes x64
• Windows 11 Version 22H2 pour systèmes ARM64
• Windows 11 Version 22H2 pour systèmes x64
• Windows 11 version 21H2 pour systèmes ARM64
• Windows 11 version 21H2 pour systèmes x64
• Windows Server 2008 R2 pour systèmes x64 Service Pack 1
• Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (Server Core installation)
• Windows Server 2008 pour systèmes 32 bits Service Pack 2
• Windows Server 2008 pour systèmes 32 bits Service Pack 2 (Server Core installation)
• Windows Server 2008 pour systèmes x64 Service Pack 2
• Windows Server 2008 pour systèmes x64 Service Pack 2 (Server Core installation)
• Windows Server 2012
• Windows Server 2012 (Server Core installation)
• Windows Server 2012 R2
• Windows Server 2012 R2 (Server Core installation)
• Windows Server 2016
• Windows Server 2016 (Server Core installation)
• Windows Server 2019
• Windows Server 2019 (Server Core installation)
• Windows Server 2022
• Windows Server 2022 (Server Core installation)
• Microsoft Office 2019 pour éditions 32 bits
• Microsoft Office 2019 pour éditions 64 bits
• Microsoft Office LTSC 2021 pour éditions 32 bits
• Microsoft Office LTSC 2021 pour éditions 64 bits
• Microsoft Word 2013 Service Pack 1 (éditions 32 bits)
• Microsoft Word 2013 Service Pack 1 (éditions 64 bits)
• Microsoft Word 2016 (édition 32 bits)
• Microsoft Word 2016 (édition 64 bits)

Résumé

Description de la vulnérabilité

Dans le cadre de son Patch Tuesday, en date du 11 juillet 2023, Microsoft a indiqué l'existence d'une vulnérabilité référencée CVE-2023-36884 [1] au sein de plusieurs versions de Windows et produits Office. Un score CVSSv3 de 8.3 lui a été attribué.

L'éditeur confirme qu'elle est activement exploitée de façon ciblée [2].

La vulnérabilité CVE-2023-36884 permet à un attaquant d'exécuter du code arbitraire à distance dans le contexte utilisateur à l'aide d'un document Microsoft Office spécialement conçu, préalablement transmis à l'aide de technique d'ingénierie sociale.

Le CERT-FR recommande fortement de mettre en œuvre les moyens d'atténuation proposés par l'éditeur en attendant la publication d'un correctif.

Cette alerte sera mise à jour de façon régulière au gré des nouveaux éléments qui nous seront communiqués.

Campagne d'exploitation

La CVE-2023-36884 aurait été exploitée, d’après Microsoft [4], par le mode opératoire Storm-0978 lors d’une campagne en juin 2023 contre des entités gouvernementales et du secteur de la défense européennes et nord-américaines à des fins d’espionnage. Le code malveillant utilisé par les attaquants suite à l’exploitation de cette vulnérabilité, présenterait des similarités avec la porte dérobée RomCom.

RomCom est un code malveillant découvert en août 2022 par PaloAlto [5], qui aurait été utilisé depuis octobre 2022 dans des campagnes d’espionnage contre des entités gouvernementales et militaires ukrainiennes ([6], [7]), et des entités des secteurs du gouvernement, de la défense, de la santé, des services numériques et de la logistique dans certains pays d’Europe et d’Amérique du Nord ([7], [8], [9], [10], [11], [4]).

Le code malveillant RomCom a été associé au groupe cybercriminel Cuba par plusieurs éditeurs de sécurité [5], [12]. Cuba est notamment connu pour avoir revendiqué l’attaque par rançongiciel contre le gouvernement du Monténégro en août 2022 [13].

Contournement provisoire

L'éditeur fournit un ensemble de mesures d’atténuation visant à limiter son exploitation. [1] [3]

Solution

Les mises à jour publiées par l'éditeur en août 2023 corrigent cette vulnérabilité [1].

Documentation

• [1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884
• [2] https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives/
• [3] https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide#block-all-office-applications-from-creating-child-processes
• [4] https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives/
• [5] https://unit42.paloaltonetworks.com/cuba-ransomware-tropical-scorpius/
• [6] https://cert.gov.ua/article/2394117
• [7] https://blog.google/threat-analysis-group/ukraine-remains-russias-biggest-cyber-focus-in-2023/
• [8] https://www.trendmicro.com/en_us/research/23/e/void-rabisu-s-use-of-romcom-backdoor-shows-a-growing-shift-in-th.html
• [9] https://blogs.blackberry.com/en/2023/06/romcom-resurfaces-targeting-ukraine
• [10] https://blogs.blackberry.com/en/2023/07/romcom-targets-ukraine-nato-membership-talks-at-nato-summit
• [11] https://cert.gov.ua/article/5077168
• [12] https://blog.google/threat-analysis-group/ukraine-remains-russias-biggest-cyber-focus-in-2023/
• [13] https://www.bankinfosecurity.com/cuba-ransomware-gang-takes-credit-for-attacking-montenegro-a-19938