Sur le mois de mai, la mise à jour de sécurité de Microsoft corrige 55 vulnérabilités dont 3 sont déjà exploitées par des groupes de cyberespionnage dans le cadre d’attaques ciblées. Sur l’ensemble des failles, 15 sont jugées critiques. Elles affectent la suite bureautique Office, les navigateurs web Edge et Internet Explorer, l'OS Windows, ainsi que le moteur de protection contre les malwares. Ce dernier est utilisé dans la plupart des produits anti-malwares de Microsoft qui est intervenu en urgence sur ces logiciels en publiant un bulletin d’avertissement lundi.
Sur l’échelle des priorités, les administrateurs systèmes devraient commencer à appliquer les correctifs destinés à Office. Ceux-ci concernent en effet deux failles (CVE-2017-0261 et CVE-2017-0262) liées aux fichiers EPS (encapsulated Postscript) qui ont déjà fait l’objet d’attaques ciblées sur les deux derniers mois et peuvent être exploitées pour exécuter du code à distance sur le système sous-jacent. Selon les chercheurs de FireEye, la faille CVE-2017-0261 l’a été depuis fin mars à la fois pour des motivations financières par un gang de cybercriminels non identifié et par un groupe de cyberespionnage russe appelé Turla. Actif depuis 2007 au moins, ce dernier est aussi connu sous les noms de Snake ou Uroburos. Il est responsable de certaines attaques de cyberespionnage parmi les plus complexes à ce jour. Ses cibles sont généralement gouvernementales : administrations, ambassades, agences de renseignement, organisations militaires, institutions académiques. Il vise aussi les grandes entreprises. Les attaques passent par des documents Word distribués par mail qui intègrent des contenus EPS malveillants. Elles cherchent aussi à exploiter une vulnérabilité d’escalade de privilège dans Windows (CVE-2017-0001) qui a été corrigée le 14 mars.
Exploitées par le groupe de cyberespionnage APT28
En avril, des chercheurs de FireEye et Eset ont découvert une autre campagne de cyberespionnage exploitant l’autre faille d’Office liée aux fichiers EPS et patchée hier, CVE-2017-0262. En remontant ces attaques, on tombe sur un groupe de cyberespionnage russe connu dans l’industrie de la sécurité sous les noms d’APT28, Fancy Bear ou Pawn Storm et récemment impliqué dans le piratage des équipes de campagne du président de la République française nouvellement élu, Emmanuel Macron. C’est également ce groupe qui a été impliqué dans le piratage du Comité national démocrate aux Etats-Unis l’an dernier durant l’élection présidentielle américaine. La sélection de ces cibles a mis en évidence les intérêts géopolitiques de la Russie conduisant de nombreux chercheurs en sécurité à penser qu’APT28 était lié au service de renseignement militaire russe.
Les précédentes attaques d’APT28 ont montré que le groupe russe avait accès à un arsenal d’exploits zero-day – des programmes d’exploitation pour des failles jusque-là non connues. L’un d’eux a été diffusé dans un document leurre portant sur la décision du Président américain Donald Trump de lancer une attaque en Syrie le mois dernier. Et il était associé à un autre exploit zero-day lié à une faille d’escalade de privilège (CVE-2017-0263) également patchée hier.
Edge et IE à corriger rapidement
Même si la faille CVE-2017-0262 a été techniquement corrigée ce mardi 9 mai, les utilisateurs qui ont installé les mises à jour d’Office livrées en avril étaient déjà protégés contre elle. En effet, dans le cadre de mesures de défense en profondeur appliquées par Microsoft, ces updates ont désactivé les filtres EPS dans Office, rappelle Microsoft dans un billet. Les administrateurs système doivent par ailleurs mettre dans leurs priorités les correctifs pour Edge et IE parce qu’ils s’appliquent à des failles pouvant être exploitées au cours de visites sur des sites web malveillants ou par la lecture au sein des navigateurs de publicités spécialement conçues à cette fin. L’une des failles IE corrigée est déjà exploitée par des pirates et l’une des failles Edge a été publiquement dévoilée.
Sur la liste des priorités viennent ensuite les updates pour Windows qui concernent plusieurs vulnérabilités sérieuses dans le protocole de partage de fichiers en réseau SMB (Server Message Block) pouvant donner lieu à de l’exécution de code à distance. Celles-ci mettent en danger les postes de travail et serveurs utilisant SMBv1. Enfin, les utilisateurs des produits anti-malware de Microsoft doivent s’assurer que leur moteur est bien mis à jour vers la version 1.1.13704.0. Les anciennes versions contiennent une faille hautement critique qui peut être facilement exploitée par des attaquants pour prendre le contrôle complet des ordinateurs.