Résumé

Description de la vulnérabilité

Dans le cadre de son Patch Tuesday, en date du 11 juillet 2023,Microsoft a indiqué l'existence d'une vulnérabilité référencéeCVE-2023-36884 [1] au sein de plusieurs versions de Windows etproduits Office. Un score CVSSv3 de 8.3 lui a été attribué.

L'éditeur confirme qu'elle est activement exploitée de façon ciblée[2].

La vulnérabilité CVE-2023-36884 permet à un attaquant d'exécuter du codearbitraire à distance dans le contexte utilisateur à l'aide d'undocument Microsoft Office spécialement conçu, préalablement transmis àl'aide de technique d'ingénierie sociale.

Le CERT-FR recommande fortement de mettre en œuvre les moyensd'atténuation proposés par l'éditeur en attendant la publication d'uncorrectif.

Cette alerte sera mise à jour de façon régulière au gré des nouveauxéléments qui nous seront communiqués.

Campagne d'exploitation

La CVE-2023-36884 aurait été exploitée, d’après Microsoft [4], par lemode opératoire Storm-0978 lors d’une campagne en juin 2023 contre desentités gouvernementales et du secteur de la défense européennes etnord-américaines à des fins d’espionnage. Le code malveillant utilisépar les attaquants suite à l’exploitation de cette vulnérabilité,présenterait des similarités avec la porte dérobée RomCom.

RomCom est un code malveillant découvert en août 2022 par PaloAlto[5], qui aurait été utilisé depuis octobre 2022 dans des campagnesd’espionnage contre des entités gouvernementales et militairesukrainiennes ([6], [7]), et des entités des secteurs dugouvernement, de la défense, de la santé, des services numériques et dela logistique dans certains pays d’Europe et d’Amérique du Nord ([7],[8], [9], [10], [11], [4]).

Le code malveillant RomCom a été associé au groupe cybercriminel Cubapar plusieurs éditeurs de sécurité [5], [12]. Cuba est notammentconnu pour avoir revendiqué l’attaque par rançongiciel contre legouvernement du Monténégro en août 2022 [13].