Des failles de sécurité de Microsoft Office connue depuis des années sont toujours activement exploitées. Les cyberattaquants les utilisent pour infecter des PC avec des logiciels malveillants, ou malwares.
Une preuve supplémentaire qu’il faut toujours appliquer les mises à jour de sécurité des logiciels, et le plus tôt possible.
Le retour de SmokeLoader
Des chercheurs de cybersécurité de Fortinet ont ainsi mis en évidence des failles de sécurité non corrigées exploitées pour diffuser SmokeLoader.
Cette forme de malware, une fois installée sur des ordinateurs équipés de Windows, diffuse d’autres logiciels malveillants – notamment Trickbot, mais aussi diverses portes dérobées et chevaux de Troie.
Les deux vulnérabilités en question ont presque cinq ans, mais le fait qu’elles soient utilisées pour distribuer SmokeLoader démontre qu’elles sont toujours efficaces.
Des correctifs disponibles depuis cinq ans
La première est CVE-2017-0199, une vulnérabilité dans Microsoft Office apparue pour la première fois en 2017. Elle permet à des attaquants de télécharger et d’exécuter des scripts PowerShell sur des réseaux compromis, ce qui leur donne la possibilité d’obtenir un accès supplémentaire aux systèmes.
La seconde est CVE-2017-11882, une vulnérabilité de débordement de tampon de pile dans Microsoft Office qui permet l’exécution de code à distance.
Des correctifs de sécurité pour les deux vulnérabilités sont disponibles depuis leur divulgation publique, il y a cinq ans.
Du phishing pour infecter les machines des victimes
Comme dans de nombreuses autres campagnes de malwares, les attaquants utilisent des e-mails de phishing pour inciter leurs victimes à tomber dans leur piège.
Dans ce cas, les chercheurs expliquent comment l’e-mail de phishing demande au destinataire de vérifier un bon de commande et les délais de livraison afin de confirmer leur exactitude. L’e-mail tente d’avoir l’air aussi légitime que possible, en incluant une signature complète avec les coordonnées de contact correspondantes.
Pour voir ce qui est censé être un bon de commande, l’utilisateur est invité à ouvrir un document Microsoft Office doté de « protections ». Il lui est demandé d’activer la possibilité de le modifier pour le voir. En réalité, ce clic permet au document malveillant d’exécuter le code nécessaire pour exploiter les vulnérabilités et infecter l’appareil de la victime avec un malware.
Des cybercriminels à l’affût des systèmes vulnérables
« Bien que les CVE-2017-0199 et CVE-2017-11882 aient été découvertes en 2017, elles sont toujours activement exploitées dans cette campagne et dans d’autres campagnes de logiciels malveillants », met en garde James Slaughter, ingénieur principal en intelligence des menaces chez Fortinet.
« Cela démontre que les opérateurs de malwares parviennent encore à leurs fins en s’appuyant sur des vulnérabilités vieillissantes, souvent plusieurs années après leur découverte, et en misant sur le fait que les solutions affectées ne sont pas corrigées », ajoute-t-il.
Les failles de sécurité non corrigées restent l’un des vecteurs d’attaque les plus courants pour les cybercriminels, dont beaucoup scrutent activement internet à la recherche de systèmes et de serveurs vulnérables. Il est donc essentiel que les organisations appliquent les mises à jour de sécurité aussi rapidement que possible afin de prévenir les attaques de logiciels malveillants.
Gare à Trickbot
Les chercheurs de Fortinet ont noté que SmokeLoader était utilisé pour diffuser Trickbot, qui est couramment utilisé pour diffuser des ransomwares et d’autres cybermenaces qui peuvent être extrêmement perturbantes.
La meilleure façon d’éviter d’être victime de SmokeLoader et d’autres campagnes similaires reste de s’assurer que les correctifs de sécurité sont appliqués.
D’autant plus que dans ce cas, les correctifs sont disponibles depuis des années…
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));