Le groupe Cobalt, qui existe depuis 2016, cible principalement les organisations financières et utilise souvent l'hameçonnage (phishing) pour pirater les réseaux. Alors que les précédentes attaques de Cobalt ont exploité des ordinateurs en Europe et en Asie, elles semblent maintenant étendre leurs activités en ciblant les utilisateurs de Microsoft Office dans le monde entier.
Comment Cobalt exploite cette vulnérabilité
L'éditeur d'équations de Microsoft Office permet aux utilisateurs Office de créer et d'intégrer des équations mathématiques dans leurs documents. Il s'agit d'un outil relativement ancien qui est disponible depuis Office 2007. L'exploit CVE-2017-11882 permet aux pirates informatiques d'exécuter du code à distance en utilisant l'éditeur d'équation.
Peu de temps après que Microsoft ait publié un correctif pour cette vulnérabilité de l'éditeur d'équations, ReversingLabs a découvert que le groupe de hackers Cobalt distribuait un document RTF (Rich Text Format) qui exploitait cette vulnérabilité. Comme pour les autres attaques d'exécution de code à distance, une fois téléchargé sur l'ordinateur de la victime, le fichier contacte un serveur C&C distant pour télécharger une série de 3 payloads. Le dernier payload de l'attaque, appelée 'Cobalt strike backdoor', est disponible en formats 32 et 64 bits, ce qui signifie qu'elle peut briser le système de n'importe quelle victime, quelle que soit l'architecture de son système.
Deux façons simples de vous protéger contre cette menace
Microsoft suggère aux utilisateurs de désactiver l'éditeur d'équation pour rester vigilant contre cette faille potentielle, c'est votre première option. Mais désactiver l'éditeur d'équation a ses propres conséquences, c'est pourquoi Microsoft a fourni des instructions sur la réactivation de l'éditeur d'équation si vous trouvez que vous en avez besoin. Si vous n'avez que quelques systèmes que vous souhaitez protéger, alors suivre les instructions de Microsoft devrait suffire. Cependant, vous pouvez avoir besoin de suivre la deuxième option si vous avez plusieurs ordinateurs affectés: utiliser un outil comme Desktop Central pour résoudre rapidement cette vulnérabilité dans toute votre entreprise.
En réponse à la vulnérabilité de l'éditeur d'équations, Desktop Central a ajouté un nouveau script à son modèle de script, "DisableEquationEditorInOffice.bat". L'installation de ce script désactive l'éditeur d'équation sur tout votre réseau.
Microsoft a déjà abordé ce problème dans une mise à jour patch de novembre 2017, avec les mises à jour KB3162047, KB4011604, KB4011262, KB4011618 et KB4011262. Si vous avez déjà mis à jour vos systèmes avec ces derniers correctifs de Microsoft, vous devriez être en sécurité. Si vous n'avez pas encore installé ces correctifs, Desktop Central peut vous aider à résoudre cette vulnérabilité immédiatement en utilisant sa fonctionnalité de gestion des correctifs.
Vous pouvez installer des correctifs spécifiques à cette vulnérabilité en naviguant dans la section Gestion des correctifs >> Correctifs pris en charge >> ID du Bullletin. Après avoir recherché "MS17-NOV6", sélectionnez tous les bulletins pertinents et déployez-les sur vos systèmes concernés.
Si vous continuez à résoudre les vulnérabilités une par une, il est grand temps d'utiliser une solution de gestion des postes de travails pour résoudre les menaces à partir d'un point central. Si les prévisions des chercheurs en matière de sécurité sont justes (en anglais), les entreprises peuvent s'attendre à voir davantage de cyberattaques en 2018.
Giridhara Raam, Analyste Marketing chez ManageEngine