Les RSSI ont déjà fort à faire avec la faille Log4j, mais les pirates ne prennent pas de vacances et continuent leur travail de sape. Des exploits ont été découverts par Sophos et Microsoft montrant la capacité des cyberattaquants à profiter d'une couverture incomplète d'un patch ou de combiner des vulnérabilités pour améliorer leurs offensives. Les deux PoC trouvés concernent la suite bureautique Office et Active Directory de Microsoft.

Le contournement d'un patch pour Office

Dans le premier cas, des attaquants ont réussi à créer une méthode pour contourner le patch d’une vulnérabilité critique (autorisant de l’exécution de code à distance) dans Office. Concrètement, cette faille a été corrigée en septembre par Microsoft pour empêcher des attaquants d’exécuter un code malveillant intégré dans un document Word via le téléchargement d’une archive CAB (Microsoft Cabinet). Les cybercriminels peuvent ainsi pousser leur charge utile, en l’occurrence le malware Formbook. Pour contourner ce patch, ils ont retravaillé l’exploit original en plaçant le document Word malveillant dans une archive RAR spécialement conçue.

Sophos a constaté que cette technique relève plus de l’expérimentation. En effet, l’exploit a été distribué par le biais de spams pendant environ 36 heures avant de disparaître des radars. Il pourrait néanmoins être utilisé lors de prochaines attaques. Les experts de l’éditeur rappellent l’importance de la sensibilisation des employés à ne pas ouvrir des pièces jointes comprenant notamment des fichiers compressés.

Une combinaison de failles pour Active Directory

Concernant Active Directory, Microsoft a mis à jour les bulletins de sécurité sur deux failles : CVE-2021-42287 et CVE-2021-42278. Elles avaient été découvertes par Andrew Bartlett de Catalyst IT et corrigées lors du Patch Tuesay de novembre 2021. Ces vulnérabilités octroient des élévations de privilège dans Active Directory. Ce dernier est considéré comme le Saint Graal par les pirates, car donnant accès à l’ensemble du système IT d’une entreprise.

Dans une alerte, Microsoft a constaté la disponibilité sur Twitter et GitHub d’un PoC combinant les deux failles pour s’en prendre aux contrôleurs de domaine Windows. Cette technique a été publiée le 11 décembre dernier. « En combinant ces deux vulnérabilités, un attaquant peut créer un chemin direct vers un utilisateur de domaine au niveau Admin dans un environnement Active Directory qui n'a pas appliqué ces dernières mises à jour », précise Microsoft. L’éditeur recommande donc d’appliquer les mises à jour rapidement.