Accueil Cybersécurité Le groupe pirate Fighting Ursa exploite un exploit zero-day dans Microsoft Outlook

Le groupe pirate Fighting Ursa exploite un exploit zero-day dans Microsoft Outlook

Pirate
Colored hacker code realistic composition with person creates codes for hacking and stealing information vector illustration

Au début de cette année, des chercheurs ukrainiens en cybersécurité ont découvert que le groupe APT28 exploitait un exploit zero-day dans Microsoft Outlook, lançant  ces attaques par relais NTLM. 

Cette vulnérabilité, connue sous le nom de CVE-2023-23397, est particulièrement préoccupante car elle ne nécessite aucune interaction de l’utilisateur pour être exploitée. 

Les chercheurs de l’Unité 42, de l’éditeur Palo Alto Networks,  viennent de publier une analyse détaillée des campagnes d’attaques du groupe.  Leur recherche révèle le calendrier des attaques et leurs cibles. 

Le groupe pirate APT28 est associé au renseignement militaire russe. On lui prête diverses appellations : Fighting Ursa ,  APT28, Fancy Bear, Strontium/Forest Blizzard, Pawn Storm, Sofacy ou Sednit). On également lui a attribué dans le passé des cyberattaques associées à des fake news pour perturber les campagnes présidentielles françaises et américaines.

Cible: les membres de l’OTAN

Selon les chercheurs de Unit42, la première attaque Zero-Day a eu lieu le 18 mars 2022, trois semaines après l’invasion de l’Ukraine, via des mails destinés à un ministère ukrainiens. Les attaques ont repris fin mars puis à l’été 2023 jusqu’à fin octobre de cette année, ciblant au moins 30 organisations dans 14 pays membres de l’OTAN, offrant ainsi du renseignement stratégique au gouvernement russe et à son armée. Les secteurs critiques ciblés ont été notamment l’énergie, les transports, les télécommunications, l’informatique et la base industrielle militaire.

Comprendre la vulnérabilité Oulook CVE-2023-23397

Selon les explications de l’Unité 42, l’exploitation réussie de Microsoft Outlook à l’aide de cette vulnérabilité entraîne une attaque par relais à l’aide de Windows NT LAN Manager (NTLM), un protocole d’authentification de type Challenge-Answer qui est sujet aux attaques par relais. Kerberos est le protocole d’authentification par défaut dans les systèmes Windows depuis Windows 2000. Cependant, de nombreuses applications Microsoft utilisent toujours NTLM comme protocole de secours dans les cas où Kerberos n’est pas accessible. Microsoft Outlook est l’une de ces applications.

En savoir plus

Consulter la page d’analyse de l’Unité 42, pour en savoir plus sur la vulnérabilité, la mise à jour et les parades proposées