Dans le cadre du Patch Tuesday pour ce mois de mars, Microsoft corrige environ 80 vulnérabilités de sécurité affectant ses produits. Parmi les failles corrigées, deux ont été exploitées dans des attaques alors qu’aucun patch n’était disponible.
CVE-2023-24880 est une vulnérabilité qui permet à des attaquants de contourner la fonctionnalité de sécurité SmartScreen intégrée à Windows. Cette dernière contrôle la réputation de fichiers téléchargés sur internet. SmartScreen s’appuie sur un balisage MotW (Mark of the Web) pour signaler un fichier.
» Un attaquant peut créer un fichier malveillant qui échappe aux défenses Mark of the Web (MotW), ce qui entraîne une perte limitée d’intégrité et de disponibilité des fonctionnalités de sécurité, comme Protected View dans Microsoft Office, qui reposent sur le balisage MotW « , écrit Microsoft.
Un air de déjà-vu
La vulnérabilité CVE-2023-24880 rappelle une autre vulnérabilité CVE-2022-44698 (qui était également 0-day à l’époque) corrigée en décembre 2022. Selon le Threat Analysis Group de Google, elles ont été exploitées pour la diffusion de ransomware.
Lors de la campagne malveillante de 2022, il s’agissait de fichiers JavaScript avec une signature malformée pour piéger Windows SmartScreen et l’amener à générer une erreur pour faire fi des alertes MotW. La campagne actuelle utilise des fichiers MSI avec un autre type de signature malformée. La cause principale du contournement n’avait ainsi pas été réglée.
D’après les chercheurs en sécurité de Google, plus de 100 000 téléchargements de fichiers MSI malveillants ont été observés depuis janvier 2023, dont plus de 80 % pour des utilisateurs en Europe. Il est fait mention du ransomware Magniber.
L’autre vulnérabilité 0-day
La vulnérabilité CVE-2023-23397 est de type élévation de privilèges dans Microsoft Oultook. Microsoft précise que les services en ligne comme Microsoft 365 n’ont pas été exposés, dans la mesure où ils ne prennent pas en charge l’authentification NTLM (NT LAN Manager) ciblée par des messages d’attaquants.
» La vulnérabilité est déclenchée du côté du serveur de messagerie, ce qui signifie que l’exploitation se produirait avant que la victime ne consulte l’email malveillant « , souligne la société de cybersécurité Tenable.
Hormis Microsoft, la découverte de la vulnérabilité est attribuée au CERT-UA qui est le Computer Emergency Response Team de l’Ukraine. Un indice sur les cibles et l’origine des attaques…