Bien que les éditeurs de logiciels publient régulièrement des correctifs pour empêcher l'exploitation des vulnérabilités, les clients oublient souvent de les installer et les cybercriminels en sont bien conscients.
Menlo labs a récemment observé un certain nombre d'attaques dans lesquelles les cybercriminels continuent d'exploiter une ancienne vulnérabilité, identifiée comme CVE-2017-11882, dans Microsoft Office malgré le fait qu'elle ait été corrigée il y a plus de deux ans. Ces attaques ont visé des entreprises des secteurs de l'immobilier, du divertissement et des banques à Hong Kong et en Amérique du Nord.
La vulnérabilité utilisée dans les attaques existe dans Microsoft Éditeur d'équations dans Office qui permet aux utilisateurs d'incorporer des équations ou des formules mathématiques dans n'importe quel document Office.
Selon un récent rapport du FBI, CVE-2017-11882 est l'une des 10 principales vulnérabilités qui sont régulièrement exploitées par les cybercriminels.
Sommaire
Tirer parti des vulnérabilités plus anciennes
La première attaque observée par les laboratoires Menlo a utilisé un fichier RTF pour déclencher CVE-2017-1182 dans Microsoft Office. Si un utilisateur ouvre le document Word trouvé sur le site loginto.me, la vulnérabilité est déclenchée et une requête HTTP vers un site bit.ly est effectuée. Le site bit.ly redirige ensuite vers l'uploader Femto qui télécharge un exécutable. Une fois que l'exécutable est ouvert sur un point de terminaison, une autre demande HTTP de paste.ee est effectuée à partir de laquelle la charge utile malveillante de l'attaquant est téléchargée. La charge utile contient le cheval de Troie d'accès à distance NetWire (RAT) qui est utilisé pour voler les informations d'identification et les données de carte de paiement.
La deuxième attaque des laboratoires Menlo repérés dans la nature a été hébergée sur dropsend.com qui ressemble à un site Web de partage de fichiers populaire. Ce site Web a été utilisé pour héberger un fichier Microsoft Excel malveillant qui fait une demande HTTP pour télécharger le logiciel malveillant Agent Tesla lorsqu'il est ouvert. L'Agent Tesla est un RAT capable de voler des informations d'identification, de prendre des captures d'écran et de télécharger des fichiers supplémentaires.
La dernière attaque exploitant CVE-2017-1182 a utilisé l'attrait de l'autorisation comme nom de fichier et le fichier lui-même était hébergé sur OneDrive. Lorsqu'un utilisateur ouvre le fichier Excel malveillant, il télécharge et exécute le fichier contenant le Houdini ou le H-Worm RAT.
Dans un article de blog, le directeur de la recherche sur la sécurité chez Menlo Labs, Vinay Pidathala a fourni un aperçu supplémentaire de la découverte de l'entreprise, en disant:
«Le fait que CVE-2017-11882 continue d'être exploité témoigne non seulement de la fiabilité de l'exploit, mais aussi du fait qu'il existe des entreprises qui utilisent encore des logiciels obsolètes. Corriger les applications et les systèmes d'exploitation pour les protéger contre les problèmes de sécurité est essentiel, mais la pénurie de professionnels de la cybersécurité combinée à l'environnement d'entreprise en constante évolution rend plus difficile pour les entreprises de mettre en place un processus de gestion des correctifs approprié. »