Faille zero-day Microsoft non corrigée : Comment mitiger CVE-2023-36884 avec PowerShell

Les mises à jour du Patch Tuesday de juillet 2023 de Microsoft ont mis en évidence plusieurs vulnérabilités activement exploitées, dont une (ou plusieurs ?) qui n'a toujours pas été corrigée. Voici ce que vous devez savoir sur CVE-2023-36884, une vulnérabilité zero-day que les attaquants exploitent pour obtenir une exécution de code à distance via des documents Microsoft Office "spécialement fabriqués".

Qu'est-ce que CVE-2023-36884 ?

Réponse courte : Microsoft caractérise CVE-2023-36884 comme une vulnérabilité d'exécution de code HTML à distance pour Office et Windows avec un CVSS de 8,3. Réponse plus substantielle : Pour l'instant, Microsoft est toujours en train d'enquêter activement, et ne fournit pas grand-chose au-delà d'une description superficielle. Elle indique qu'une exploitation réussie de la vulnérabilité peut permettre à un attaquant d'exécuter du code à distance en utilisant le contexte de la victime, et qu'il suffit de la tromper pour qu'elle ouvre un document Microsoft Office conçu à cette fin. Curieusement, le communiqué commence par indiquer que « Microsoft enquête sur des rapports faisant état d'une série de vulnérabilités d'exécution de code à distance », ce qui amène Will Dormann, expert en vulnérabilités, à émettre la théorie suivante : « CVE-2023-36884 n'est qu'un espace réservé pour une mise à jour visant à corriger plusieurs vulnérabilités par le biais d'une seule CVE, qui pourrait être publiée ultérieurement, à une date inconnue. » Le communiqué manque de précisions mais il comporte un lien vers un article de blog qui explique comment Microsoft l'a découvert.

Espionnage et ransomware : exploitation active de CVE-2023-36884

En Juin, Microsoft a identifié une campagne de phishing lancée par un pirate que Microsoft suit sous le nom de Storm-0978. La campagne a ciblé des entités gouvernementales et de défense en Amérique du Nord et en Europe, avec des appâts liés au Congrès Mondial Ukrainien. Les e-mails envoyés dans le cadre de cette campagne contenaient des liens vers des documents Word qui exploitaient la norme CVE-2023-36884 afin d'installer des portes dérobées. Alors que ces cibles et les activités post-compromission suggèrent des intentions d'espionnage, Microsoft note que, pendant que cette campagne se déroulait, elle a également découvert que Storm-0978 menait des attaques de ransomware distinctes sur des cibles sans rapport avec elle, en utilisant les mêmes éléments. Selon Microsoft, l'activité du pirate en matière de ransomware a été « essentiellement de nature opportuniste et n'a absolument rien à voir avec les cibles d'espionnage ». MISE À JOUR : Une analyse technique encore plus approfondie de cette campagne est disponible sur le site de BlackBerry.

Existe-t-il un correctif pour CVE-2023-36884 ?

Pour l'instant, non. Microsoft indique qu'elle continue d'enquêter activement sur cette vulnérabilité et qu'à l'issue de cette enquête, la société « prendra les mesures appropriées pour protéger ses clients. Il peut s'agir de fournir une mise à jour de sécurité dans le cadre de notre processus de publication mensuel ou de fournir une mise à jour de sécurité hors cycle, en fonction des besoins du client. »

Mesures de mitigation pour CVE-2023-36884

Selon Microsoft, les entreprises disposent actuellement de trois moyens pour se protéger :

1. Les clients qui utilisent Microsoft Defender pour Office sont protégés contre les pièces jointes qui tentent d'exploiter cette vulnérabilité.
2. Dans les chaînes d'attaque actuelles, l'utilisation de la règle de réduction de la surface d'attaque  "Bloquer la création de processus fils pour toutes les applications Office"  empêchera l'exploitation de la vulnérabilité.
3. Les entreprises qui ne peuvent pas profiter de ces protections peuvent ajouter les noms d'application suivants à cette clé de registre en tant que valeurs de type REG_DWORD avec des données 1. : Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION

• • Excel.exe
  • Graph.exe
  • MSAccess.exe
  • MSPub.exe
  • PowerPoint.exe
  • Visio.exe
  • WinProj.exe
  • WinWord.exe
  • Wordpad.exe

Remarque : Microsoft indique que si ces paramètres de registre peuvent atténuer l'exploitation de la faille, , ils pourraient également affecter le fonctionnement normal de certains cas d'utilisation liés à ces applications. Il est donc important de tester les changements avant de les déployer à grande échelle.

Comment mitiger les effets de CVE-2023-36884 à l'aide de PowerShell

Pour ceux qui envisagent de modifier le registre, , notre ingénieur produit logiciel Kyle Bohlander a créé le script suivant qui automatise le processus. L'utilisation de ce script avec NinjaOne (ou le RMM de votre choix) vous permettra de déployer la mitigation à distance et à grande échelle. Remarque : Ce script n'est pas réservé aux utilisateurs de NinjaOne. Il peut être utilisé par tout le monde. Toutefois, comme le conseille Microsoft, ce correctif doit être déployé sur des machines de test avant d'être déployé à plus grande échelle. Comme d'habitude, si vous décidez de l'exécuter, cela est à vos risques et périls. Exigences de l'appareil : Fonctionne sur les systèmes Windows 7 et Windows Server 2008 ou ultérieurs. Si vous devez revenir en arrière : Les paramètres de la clé de registre peuvent être annulés à l'aide du paramètre -Undo, ou appliqués à des produits Office spécifiques à l'aide du paramètre -OfficeProducts.

Auteur du script : Kyle Bohlander, Ingénieur produit logiciel chez NinjaOne

Téléchargez le fichier de script ici.