CVE-2017-11882 : Une vulnérabilité vieille de deux décennies dans Microsoft Office toujours utilisée pour la distribution de logiciels malveillants
Table des matières :
Bien qu’elle ait été corrigée depuis déjà trois ans, les pirates s’appuient apparemment sur une ancienne vulnérabilité d’exécution de code à distance dans Microsoft Office (CVE-2017-11882) pour infecter les victimes avec des logiciels malveillants. Selon l’analyse des menaces rapport de HP Bromium, la faille représente près des trois quarts de toutes les exploitations utilisées au T4 2020.
Description de la CVE-2017-11882
CVE-2017-11882 est un dysfonctionnement de corruption de mémoire dans l’Éditeur d’équations de Microsoft Office qui permet l’exécution de code à distance sur des appareils vulnérables. Les pirates peuvent exploiter cette faille en trompant des utilisateurs pour qu’ils ouvrent un fichier spécialement conçu. Après une exploitation réussie, les adversaires obtiennent la capacité d’exécuter un code arbitraire dans le contexte de l’utilisateur actuel. Si l’utilisateur est connecté avec des privilèges administratifs, les attaquants seraient en mesure de prendre le contrôle total de l’instance ciblée.
La vulnérabilité a été introduite dans Microsoft Office il y a presque 20 ans et corrigée par le fournisseur en 2017 avec sa sortie du Patch Tuesday de novembre. Cependant, la solution officielle n’a jamais empêché les adversaires d’une exploitation active dans la nature. Depuis 2017, la vulnérabilité a été continuellement utilisée pour distribuer divers échantillons de malware, y compris Loki, FormBook, Pony, ZBOT, Ursnif, Agent Tesla, et plus encore. L’extrême popularité des exploits de l’Éditeur d’équations, y compris CVE-2017-11882, découle du fait que les utilisateurs de Microsoft Office échouent souvent à mettre à jour leurs systèmes à temps, laissant une porte ouverte aux pirates.
Exploitation de CVE-2017-11882 dans la nature
L’enquête conjointe du Département de la sécurité intérieure, du FBI et du gouvernement américain place CVE-2017-11882 sur la liste des failles les plus fréquemment utilisées par des acteurs de menace avancés dans leurs opérations malveillantes. Selon le rapport, des pirates chinois, nord-coréens et russes exploitent continuellement le bug de Microsoft Office depuis au moins 2016. from the Department of Homeland Security, the FBI, and the US government puts CVE-2017-11882 on the list of flaws most frequently used by advanced threat actors in their malicious operations. As per the report, Chinese, North Korean, and Russian hackers are continuously leveraging the Microsoft Office bug since at least 2016.
Selon l’analyse de HP Bromium, cette tendance ne s’est intensifiée qu’en 2020, faisant de CVE-2017-11882 le principal exploit pour le T3-T4 2020. En particulier, au troisième trimestre 2020, la vulnérabilité de Microsoft Office représentait près de 90% des exploits utilisés. Et durant le T4 2020, 74% de toutes les cyberattaques exploitant des failles non corrigées reposaient sur CVE-2017-11882.
Détection et Atténuation
En vue de l’extrême popularité de CVE-2017-11882, les utilisateurs sont incités à mettre à jour leurs services dès que possible pour rester en sécurité. Pour détecter d’éventuelles cyberattaques exploitant la vulnérabilité contre vos systèmes, vous pouvez télécharger une règle Sigma communautaire récente de notre développeur Threat Bounty Aytek Aytemur:
https://tdm.socprime.com/tdm/info/vXBEcFu7I9p6/Zbvhg3gBcFeKcPZnWpvo
La règle a des traductions pour les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR : Carbon Black, Sentinel One, Microsoft Defender ATP
MITRE ATT&CK :
Tactiques : Exécution, Découverte
Techniques : Exploitation pour l’Exécution du Client (T1203), Interrogation du Registre (T1012), Découverte d’Informations Système (T1082)
Vous pouvez également explorer la liste complète des détections de CVE-2017-1182 disponible dans le Threat Detection Marketplace. Restez à l’écoute de notre blog pour plus de mises à jour.
Abonnez-vous à Threat Detection Marketplace gratuitement et accédez à la première bibliothèque de contenu SOC de l’industrie, agrégant plus de 100K règles de détection et de réponse cartographiées à la matrice MITRE ATT&CK et applicables à votre solution de sécurité en cours d’utilisation. Inspiré pour développer vos propres règles Sigma ? Rejoignez notre Programme de Prime aux Menaces! Enthousiaste pour améliorer vos compétences en chasse aux menaces ? Lisez notre Guide des Règles Sigma pour les débutants.
