Mandiant a créé le cluster d’activité UNC4697 pour suivre l’exploitation précoce de la faille zero-day qui a été publiquement attribuée à APT28, un acteur rattaché au GRU russe. La vulnérabilité est utilisée depuis avril 2022 contre les gouvernements, et contre de nombreux domaines incluant la logistique, le pétrole/gaz, la défense ou encore celui du transport situé en Pologne, en Ukraine, en Roumanie et en Turquie.

Mandiant prévoit une utilisation large et rapide de l’exploit CVE-2023-23397 par de nombreux groupes étatiques et acteurs à motivation financière, y compris des acteurs criminels et de cyberespionnage. À court terme, ces acteurs feront la course contre les efforts de correction pour s’implanter dans les systèmes non corrigés.

– Des preuves de concept sont déjà largement disponibles pour le jour zéro qui ne nécessite aucune interaction de la part de l’utilisateur.
– Outre la collecte de renseignements à des fins stratégiques, Mandiant pense que cette faille a été utilisée pour cibler des infrastructures critiques à l’intérieur et à l’extérieur de l’Ukraine, en préparation d’éventuelles cyberattaques perturbatrices ou destructrices.
– À noter que cette vulnérabilité n’affecte pas les solutions de messagerie électronique basées sur le cloud.

John Hultquist, responsable de Mandiant Intelligence Analysis - Google Cloud commente :"Il s’agit d’une nouvelle preuve que les cyberattaques agressives, perturbatrices et destructrices pourraient ne pas se limiter à l’Ukraine et d’un rappel que nous ne pouvons pas tout voir. Si la préparation d’attaques n’indique pas nécessairement qu’elles sont imminentes, la situation géopolitique doit nous faire réfléchir."

« Cela nous rappelle également que nous ne pouvons pas tout voir dans ce conflit. Il s’agit d’espions et ils ont l’habitude d’échapper à notre vigilance. »

« Il s’agit d’un événement de propagation. Il s’agit d’un excellent outil pour les acteurs étatiques et les criminels, qui bénéficieront d’une manne à court terme. La course a déjà commencé. »

Ce qu’il faut savoir

APT28 s’est vu attribuer publiquement l’utilisation de CVE-2023-23397 avant la récente divulgation publique. Les premières preuves d’exploitation remontent à avril 2022 et concernent des organisations gouvernementales, logistiques, pétrolières/gazières, de défense et de transport situées en Pologne, en Ukraine, en Roumanie et en Turquie. Ces organisations peuvent avoir été ciblées à des fins de collecte de renseignements stratégiques ou dans le cadre de la préparation d’une cyberattaque perturbatrice et destructrice à l’intérieur et à l’extérieur de l’Ukraine.

CVE-2023-23397 est une vulnérabilité dans le client de messagerie Outlook qui ne nécessite aucune interaction de la part de l’utilisateur et pour laquelle des exploits de preuve de concept sont désormais largement disponibles. Mandiant Threat Intelligence considère qu’il s’agit d’une vulnérabilité à haut risque en raison de la possibilité d’une escalade des privilèges sans interaction de l’utilisateur ni privilèges requis pour l’exploitation. Après l’exploitation, un attaquant pourrait s’authentifier auprès de plusieurs services et se déplacer latéralement. L’exploitation de ce jour zéro est triviale et il est probable que des acteurs l’exploiteront immédiatement à des fins d’espionnage ou de gain financier.

Adversary Operations a créé le cluster UNC4697 pour suivre l’exploitation de ce jour zéro qui a été publiquement attribué à APT28.

APT28 est un acteur du renseignement militaire russe (GRU) qui mène régulièrement des opérations de cyberespionnage et d’information à l’intérieur et à l’extérieur de l’Ukraine. APT28 collabore fréquemment avec Sandworm, un acteur du GRU responsable d’attaques perturbatrices et destructrices.

Comment cela fonctionne-t-il ?

Un attaquant peut exploiter cette vulnérabilité pour élever ses privilèges. Un attaquant devrait spécialement créer un courriel malveillant avec une propriété MAPI étendue qui contient un chemin UNC vers un partage SMB (TCP 445) sur un serveur contrôlé par l’attaquant. Une fois le courriel reçu, une connexion est ouverte au partage SMB et le message de négociation NTLM de l’utilisateur est envoyé. Cela permet à l’attaquant de découvrir le hachage Net-NTLMv2 de l’utilisateur. L’attaquant peut alors relayer le hachage NTLM pour s’authentifier auprès d’autres systèmes dans l’environnement de la victime. C’est ce que l’on appelle communément une attaque "Pass the Hash" (PtH). La connexion au partage SMB est déclenchée lorsque le client Outlook reçoit et traite le courrier électronique, ce qui permet à l’exploitation de se produire avant que la victime ne consulte le courrier électronique.

Que faire pour se protéger ?

“La mise en place du patch est une priorité absolue pour les entreprises et les institutions, il parait aussi important d’utiliser les outils déjà distribués pour rechercher des traces de compromissions possibles et le cas échéant lancer des investigations à grandes échelles dans son réseau.

En addition de ces premières actions, nous encourageons aussi les entreprises à réévaluer rapidement leur sécurisation à travers plusieurs angles. Premièrement, limiter voire bloquer les trafics SMB sortant, cela devrait être fait de manière différenciée entre les environnements centralisés et les environnements utilisant le webmail Microsoft OWA. De plus, il est aussi préconisé de mettre en place des limitations et un durcissement des utilisations de l’authentification NTLM. Ces changements n’étant pas sans potentielles conséquences sur l’usage des applications de l’entreprise, il faudra même, vu l’urgence actuelle, s’assurer de mesurer au mieux les impacts et conséquences de ces durcissements d’environnements. Enfin, il convient aussi d’élargir au maximum l’utilisation de l’authentification à double facteur MFA et d’interdire l’usage de mail pour des comptes d’administration ou des comptes sensibles.

Ce type d’attaque nous rappelle les risques actuels et l’importance de la mise en place d’environnements sécurisés et d’équipes 24/7 pour répondre rapidement à ces annonces. “ ajoute David Grout, CTO EMEA Mandiant.