Microsoft a corrigé une vulnérabilité de sécurité dans Office qui aurait été exploitée pour installer des outils de surveillance chez des utilisateurs russophones.
« FireEye a récemment détecté un document malveillant Microsoft Office RTF qui a mis à profit CVE-2017-8759, une vulnérabilité d'injection de code par analyseur WSAP de SOAP. Cette vulnérabilité permet à un acteur malveillant d'injecter un code arbitraire lors de l'analyse des contenus de définition de SOAP WSDL. FireEye a analysé un document Microsoft Word où les attaquants ont utilisé l'injection de code arbitraire pour télécharger et exécuter un script Visual Basic contenant des commandes PowerShell » expliquent les chercheurs dans un billet de blog.
Le document malveillant, "Проект.doc" (MD5: fe5c4d6bb78e170abf5cf3741868ea4c), aurait pu être utilisé pour cibler un locuteur russe. Dans le cadre d’une exploitation réussie de CVE-2017-8759, le document télécharge plusieurs composants et déclenche par la suite la charge utile FINSPY (MD5: a7b990d5f57b244dd17e9a937a41e7f5).
Le logiciel malveillant FINSPY, également connu sous le nom de FinFisher ou WingBird, est disponible à l'achat et est présenté comme un outil disposant de fonctionnalité pour effectuer des « interceptions légales ». « Sur la base de cette utilisation antérieure de FINSPY, nous évaluons avec une confiance modérée que ce document malveillant a été utilisé par un État-nation pour cibler une entité de langue russe à des fins d'espionnage cybernétique. Des détections supplémentaires par le système Dynamic Threat Intelligence de FireEye indiquent que l'activité connexe, bien que potentiellement pour un client différent, pourrait avoir eu lieu dès juillet 2017. »
FinSpy est associée à l'entreprise allemande Gamma Group, une entreprise qui effectue des interceptions légales pour la surveillance et l'espionnage.
La société, qui compte parmi ses clients presque exclusivement des États, joue au jeu du chat et de la souris avec des entreprises technologiques comme Microsoft et Apple puisque son objectif est justement de pouvoir contourner les mécanismes de sécurité mis en place par ces acteurs pour des besoins de surveillance.
En 2014, WikiLeaks a révélé que plusieurs grands gouvernements, parmi lesquels plusieurs États oppressifs, figuraient sur la liste de clients de la suite de surveillance FinFisher.
« Ces expositions démontrent les ressources importantes disponibles pour les entreprises dans le marché des “interceptions légales” et leurs clients », ont estimé les chercheurs Genwei Jiang, Ben Read et Tom Bennett.
Dans un bulletin, Microsoft a classé la vulnérabilité dans la catégorie « importante » et a confirmé que toutes les versions compatibles de Windows, y compris ses systèmes d'exploitation serveur, sont vulnérables. L’entreprise a travaillé de concert avec FireEyes qui a partagé avec elle des détails sur cette vulnérabilité.
Microsoft a corrigé 81 autres vulnérabilités distinctes dans son ensemble mensuel de correctifs de sécurité.
Source : FireEye
Microsoft corrige une vulnérabilité zero-day dans Office qui a été utilisée
Pour déployer le spyware FinSpy
Microsoft corrige une vulnérabilité zero-day dans Office qui a été utilisée
Pour déployer le spyware FinSpy
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !