La faille zero-day de Word (CVE-2017-0199), que Microsoft a corrigée ce mardi, a été en fait exploitée bien plus largement que ne l’avaient pensé au départ les experts en sécurité de McAfee et FireEye qui l’ont repérée la semaine dernière. Selon les recherches de FireEye, elle a été utilisée de façon distincte dès janvier, d'une part par des groupes recourant au logiciel espion FinSpy sur des cibles russophones, à des fins probables de cyberespionnage, et d’autre part par des groupes utilisant Latentbot, un bot ciblant le secteur des services financiers et de l’assurance. Plus récemment, elle a également été exploitée avec le cheval de troie bancaire Dridex sur une campagne massive de spams.

Selon FireEye, l’attaque ciblant des utilisateurs russophones remonte au 25 janvier 2017, c’est-à-dire plus de deux mois avant que la faille de Word n’ait été découverte. Elle transite par un manuel d’entraînement militaire russe prétendument publié par la République populaire de Donetsk, région dissidente d’Ukraine soutenue par la Russie. Une fois ouvert, le document implante le logiciel espion FinSpy utilisé par différents états, ainsi que d'autres éléments dont un malware et un document contrefait se présentant comme un décret russe approuvant un plan de gestion forestière. Egalement connu sous le nom de FinFisher, FinSpy été développé par une filiale de la société allemande Gamma Group spécialisée dans les équipements de surveillance. Trente-trois gouvernements sont suspectés de l’avoir utilisé, selon une enquête publiée en 2015 par le laboratoire canadien Citizen Lab. Dans la mesure où la société Gamma Group compte probablement un longue liste de clients gouvernementaux, FireEye pense que d’autres cibles peuvent avoir été visées de la même façon avec FinSpy.

Différents groupes qui puisent à la même source

L’existence de la faille zero-day de Word a par ailleurs visiblement circulé parmi d'autres groupes de pirates ayant des objectifs distincts puisqu’elle est également exploitée avec des malwares utilisés par des cybercriminels visant le secteur bancaire, Latentbot et Dridex. On peut supposer que ces différents groupes tiennent leurs informations sur la faille de la même source.

Rappelons que la mise à jour de sécurité d’avril de Microsoft vient corriger cette vulnérabilité qui affecte la fonction OLE (Object Linking and embedding) de la suite bureautique Office. Il faut également appliquer un patch à Windows car les documents RTF malveillants peuvent aussi être ouverts par l’éditeur de texte WordPad inclus dans le système d’exploitation. FireEye précise dans son billet qu’il a travaillé avec Microsoft et publié les détails techniques du problème dès que la livraison du correctif.