Microsoft et Sophos ont découvert des pirates sur la suite bureautique Office et Active Directory. Ces derniers ont profité d’une couverture incomplète d’un patch pour attaquer.
Détails des faits sur Office
Pour rappel, Microsoft a déjà corrigé cette faille au mois de septembre, pour dissuader les cybercriminels d’exécuter un code malveillant intégré dans un document Word, via le téléchargement d’une archive CAB. Pour s’attaquer au PoC, ou proof of concept, les pirates ont mis au point une méthode permettant de contourner le patch d’une vulnérabilité dans Office. Cela leur a permis d’obtenir l’autorisation d’exécuter un code à distance. Les pirates ont exploité le malware Formbook dans le document Word, dans une archive RAR. Ils ont trompé le système qui corrige la faille CVE-2021-40444. Grâce à un PoC, ils ont pu recourir à une autre archive.
Pour une firme reconnue, cette technique relève d’un piratage professionnel, car les cybercriminels ont distribué le malware dans les spams durant 36 h avant de se volatiliser. Ce dernier est prévu pour être utilisé plus tard, d’où l’importance de la sensibilisation des employés à ne pas ouvrir des fichiers compressés en pièces jointes dans leurs e-mails.
L’attaque sur Active Directory de Microsoft
Lors de la mise à jour des bulletins de sécurité, Microsoft a noté 2 failles sur Active Directory : CVE-2021-42287 et CVE-2021-42278. Andrew Bartlett de Catalyst IT a découvert ces failles. Elles ont été corrigées durant le patch Tuesday, en novembre 2021. Pour les pirates, Active Directory est une porte ouverte à l’ensemble du système IT d’une entreprise. Donc si elle tarde à patcher ses contrôleurs de domaine, les deux failles sont facilement exploitables. Le cybercriminel peut alors créer une requête LDAP malveillante pour avoir un contrôle complet sur le serveur d’authentification. Cet acte de piratage a déjà fonctionné sous Windows Server 2000. Un simple utilisateur pouvait s’en servir pour accéder à Active Directory. Sous Windows Server 2003, le pirate peut s’en servir sous un nom d’utilisateur valide pour exécuter la requête.
Lors d’une alerte, Microsoft a découvert un PoC sur Twitter et GitHub combinant les deux failles pour attaquer Windows. D’ailleurs, cette technique a été publiée le 11 décembre. Un cybercriminel peut attaquer directement un utilisateur de domaine au niveau administrateur, en exploitant ces deux vulnérabilités, dans un environnement Active Directory qui n’a pas été mis à jour. Cela explique la nécessité des mises à jour régulières. Depuis la publication, les pirates mettent leurs attaques à profit et exploitent ces vulnérabilités même si elles n’ont pas de reverse engineering des patchs. En effet, cette technique est facile à utiliser, comme le confirment les chercheurs en cybersécurité.
Pour déceler les signes de compromission d’Active Directory, Microsoft donne quelques conseils via Microsoft 365 Defender. Le plus important, est de mettre à jour les contrôleurs de domaine. Pour éviter les attaques des hackers, il faut maîtriser les vulnérabilités d’Active Directory et assurer la sécurité de l’écosystème informatique. Il faut aussi protéger les comptes de domaine et mettre en œuvre des contrôles d’accès de sécurité.
