Au début de cette année, des chercheurs ukrainiens en cybersécurité ont découvert que le groupe APT28 exploitait un exploit zero-day dans Microsoft Outlook, lançant ces attaques par relais NTLM.
Cette vulnérabilité, connue sous le nom de CVE-2023-23397, est particulièrement préoccupante car elle ne nécessite aucune interaction de l’utilisateur pour être exploitée.
Les chercheurs de l’Unité 42, de l’éditeur Palo Alto Networks, viennent de publier une analyser détaillée des campagnes d’attaques du groupe. Leur recherche révèle le calendrier des attaques et leurs cibles.
Le groupe pirate APT28 est associé au renseignement militaire russe. On lui prête diverses appellations : Fighting Ursa , APT28, Fancy Bear, Strontium/Forest Blizzard, Pawn Storm, Sofacy ou Sednit). On également lui a attribué dans le passé des cyberattaques associées à des fake news pour perturber les campagnes présidentielles françaises et américaines.
Cible: les membres de l’OTAN.
Selon les chercheurs de Unité42, la première attaque Zero-Day a eu lieu le 18 mars 2022, trois semaines après l’invasion de l’Ukraine, via des mails destinés à un ministère ukrainien. Les attaques ont repris fin mars puis à l’été 2023 jusqu’à fin octobre de cette année, ciblant au moins 30 organisations dans 14 pays membres de l’OTAN, offrant ainsi du renseignement stratégique au gouvernement russe et à son armée. Les secteurs critiques ciblés ont été notamment l’énergie, les transports, les télécommunications, l’informatique et la base industrielle militaire.
Comprendre la vulnérabilité Oulook CVE-2023-23397
Selon les explications de l’Unité 42, l’exploitation réussie de Microsoft Outlook à l’aide de cette vulnérabilité entraîne une attaque par relais à l’aide de Windows NT LAN Manager (NTLM), un protocole d’authentification de type Défi-Réponse qui est sujet aux attaques par relais. Kerberos est le protocole d’authentification par défaut dans les systèmes Windows depuis Windows 2000. Cependant, de nombreuses applications Microsoft utilisent toujours NTLM comme protocole de secours dans les cas où Kerberos n’est pas accessible. Microsoft Outlook est l’une de ces applications.
En savoir plus
Consulter la page d’analyse de l’Unité 42, pour en savoir plus sur la vulnérabilité, la mise à jour et les parades proposées
L’article de la semaine
#groupe #pirate #Fighting #Ursa #exploite #exploit #zeroday #dans #Microsoft #Outlook
publish_date] pt]
