{"id":208344,"date":"2023-08-29T14:10:15","date_gmt":"2023-08-29T14:10:15","guid":{"rendered":"https:\/\/www.ninjaone.com\/script-hub\/comment-mitiger-cve-2023-36884-powershell\/"},"modified":"2024-03-04T16:02:56","modified_gmt":"2024-03-04T16:02:56","slug":"comment-mitiger-cve-2023-36884-powershell","status":"publish","type":"script_hub","link":"https:\/\/www.ninjaone.com\/fr\/script-hub\/comment-mitiger-cve-2023-36884-powershell\/","title":{"rendered":"Faille zero-day Microsoft non corrig\u00e9e : Comment mitiger CVE-2023-36884 avec PowerShell"},"content":{"rendered":"

Les mises \u00e0 jour du Patch Tuesday de juillet 2023 de Microsoft ont mis en \u00e9vidence plusieurs vuln\u00e9rabilit\u00e9s activement exploit\u00e9es, dont une (ou plusieurs ?) qui n’a toujours pas \u00e9t\u00e9 corrig\u00e9e. Voici ce que vous devez savoir sur\u00a0CVE-2023-36884<\/a>, une vuln\u00e9rabilit\u00e9 zero-day que les attaquants exploitent pour obtenir une ex\u00e9cution de code \u00e0 distance via des documents Microsoft Office \u00ab\u00a0sp\u00e9cialement fabriqu\u00e9s\u00a0\u00bb.<\/p>\n

Qu’est-ce que CVE-2023-36884 ?<\/h2>\n

R\u00e9ponse courte : Microsoft caract\u00e9rise CVE-2023-36884<\/a> comme une vuln\u00e9rabilit\u00e9 d’ex\u00e9cution de code HTML \u00e0 distance pour Office et Windows avec un CVSS de 8,3. R\u00e9ponse plus substantielle : Pour l’instant, Microsoft est toujours en train d’enqu\u00eater activement, et ne fournit pas grand-chose au-del\u00e0 d’une description superficielle. Elle indique qu’une exploitation r\u00e9ussie de la vuln\u00e9rabilit\u00e9 peut permettre \u00e0 un attaquant d’ex\u00e9cuter du code \u00e0 distance en utilisant le contexte de la victime, et qu’il suffit de la tromper pour qu’elle ouvre un document Microsoft Office con\u00e7u \u00e0 cette fin. Curieusement, le communiqu\u00e9 commence par indiquer que \u00ab\u00a0Microsoft enqu\u00eate sur des rapports faisant \u00e9tat d’une s\u00e9rie\u00a0<\/strong>de vuln\u00e9rabilit\u00e9s d’ex\u00e9cution de code \u00e0 distance\u00a0\u00bb, ce qui am\u00e8ne Will Dormann, expert en vuln\u00e9rabilit\u00e9s, \u00e0 \u00e9mettre la th\u00e9orie suivante<\/a> : \u00ab\u00a0CVE-2023-36884 n’est qu’un espace r\u00e9serv\u00e9 pour une mise \u00e0 jour visant \u00e0 corriger plusieurs vuln\u00e9rabilit\u00e9s par le biais d’une seule CVE, qui pourrait \u00eatre publi\u00e9e ult\u00e9rieurement, \u00e0 une date inconnue.\u00a0\u00bb Le communiqu\u00e9 manque de pr\u00e9cisions mais il comporte un lien vers un article de blog<\/a> qui explique comment Microsoft l’a d\u00e9couvert.<\/p>\n

Espionnage et ransomware : exploitation active de CVE-2023-36884<\/h2>\n

En Juin, Microsoft a identifi\u00e9<\/a> une campagne de phishing lanc\u00e9e par un pirate que Microsoft suit sous le nom de Storm-0978. La campagne a cibl\u00e9 des entit\u00e9s gouvernementales et de d\u00e9fense en Am\u00e9rique du Nord et en Europe, avec des app\u00e2ts li\u00e9s au Congr\u00e8s Mondial Ukrainien. Les e-mails envoy\u00e9s dans le cadre de cette campagne contenaient des liens vers des documents Word qui exploitaient la norme CVE-2023-36884 afin d’installer des portes d\u00e9rob\u00e9es. Alors que ces cibles et les activit\u00e9s post-compromission sugg\u00e8rent des intentions d’espionnage, Microsoft note que, pendant que cette campagne se d\u00e9roulait, elle a \u00e9galement d\u00e9couvert que Storm-0978 menait des attaques de ransomware distinctes sur des cibles sans rapport avec elle, en utilisant les m\u00eames \u00e9l\u00e9ments. Selon Microsoft, l’activit\u00e9 du pirate en mati\u00e8re de ransomware a \u00e9t\u00e9 \u00ab\u00a0essentiellement de nature opportuniste et n’a absolument rien \u00e0 voir avec les cibles d’espionnage\u00a0\u00bb. MISE \u00c0 JOUR : Une analyse technique encore plus approfondie de cette campagne<\/a> est disponible sur le site de BlackBerry.<\/p>\n

Existe-t-il un correctif pour CVE-2023-36884 ?<\/h2>\n

Pour l’instant, non. Microsoft indique qu’elle continue d’enqu\u00eater activement sur cette vuln\u00e9rabilit\u00e9 et qu’\u00e0 l’issue de cette enqu\u00eate, la soci\u00e9t\u00e9 \u00ab\u00a0prendra les mesures appropri\u00e9es pour prot\u00e9ger ses clients. Il peut s’agir de fournir une mise \u00e0 jour de s\u00e9curit\u00e9 dans le cadre de notre processus de publication mensuel ou de fournir une mise \u00e0 jour de s\u00e9curit\u00e9 hors cycle, en fonction des besoins du client.\u00a0\u00bb<\/p>\n

Mesures de mitigation pour CVE-2023-36884<\/h2>\n

Selon Microsoft<\/a>, les entreprises disposent actuellement de trois moyens pour se prot\u00e9ger :<\/p>\n

    \n
  1. Les clients qui utilisent Microsoft Defender pour Office sont prot\u00e9g\u00e9s contre les pi\u00e8ces jointes qui tentent d’exploiter cette vuln\u00e9rabilit\u00e9.<\/li>\n
  2. Dans les cha\u00eenes d’attaque actuelles, l’utilisation de la r\u00e8gle de r\u00e9duction de la surface d’attaque \u00a0\u00ab\u00a0Bloquer la cr\u00e9ation de processus fils pour toutes les applications Office\u00a0\u00bb<\/a>\u00a0 emp\u00eachera l’exploitation de la vuln\u00e9rabilit\u00e9.<\/li>\n
  3. Les entreprises qui ne peuvent pas profiter de ces protections peuvent ajouter les noms d’application suivants \u00e0 cette cl\u00e9 de registre en tant que valeurs de type REG_DWORD avec des donn\u00e9es 1. : ComputerHKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftInternet ExplorerMainFeatureControlFEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION<\/li>\n<\/ol>\n