Microsoft et la société de renseignement sur les menaces RiskIQ ont signalé avoir trouvé des liens entre l’exploitation d’une vulnérabilité zero-day de Windows récemment corrigée et les opérateurs de ransomware connus.

L’existence du zero-day, suivi comme CVE-2021-40444, a été révélée le 7 septembre, lorsque Microsoft a annoncé des mesures d’atténuation et averti que la faille avait été exploitée dans des attaques ciblées utilisant des documents Office spécialement conçus.

Le problème, lié au moteur de navigation MSHTML intégré à Office, peut et a été exploité pour l’exécution de code à distance. Microsoft a publié des correctifs le 14 septembre dans le cadre de ses mises à jour Patch Tuesday.

Microsoft et RiskIQ – Microsoft a annoncé l’acquisition de RiskIQ en juillet – ont publié mercredi des articles de blog distincts analysant les attaques exploitant CVE-2021-40444.

Les premières tentatives d’exploitation ont été repérées à la mi-août, mais Microsoft a signalé une augmentation significative des tentatives d’exploitation après que le code de preuve de concept (PoC) et d’autres informations aient été rendus publics peu de temps après sa divulgation initiale.

Le géant de la technologie affirme que plusieurs acteurs de la menace, y compris les affiliés de ransomware-as-a-service, ont exploité le code PoC disponible, mais la société pense que certaines des tentatives d’exploitation font partie des tests, plutôt que des attaques malveillantes.

Les premières attaques observées par Microsoft – la société a initialement connu moins de 10 tentatives d’exploitation – ont utilisé CVE-2021-40444 pour fournir des chargeurs Cobalt Strike Beacon personnalisés. Les attaquants sont suivis par Microsoft en tant que DEV-0413 – DEV est affecté à des groupes de menaces émergents ou à une activité unique. Ils ont apparemment utilisé des e-mails référençant des contrats et des accords juridiques pour amener les cibles à ouvrir des documents configurés pour exploiter la vulnérabilité MSHTML dans le but de diffuser le logiciel malveillant.

Fait intéressant, l’infrastructure de Cobalt Strike utilisée dans les attaques était auparavant connectée à des groupes de cybercriminalité…

Voir la source de cette publication