Microsoft indique avoir identifié un groupe basé en Russie et soutenu par le Kremlin qui exploite activement la vulnérabilité CVE-2023-23397, dans le but d'obtenir un accès secret et non autorisé à des comptes de messagerie sur des serveurs Exchange.

Affectant Outlook pour Windows, cette vulnérabilité de sécurité critique d'élévation de privilèges avait été révélée en mars dernier. Elle permet de divulguer un hash Net-NTLMv2 à un serveur contrôlé par un attaquant.

Sans intervention de l'utilisateur, la vulnérabilité est déclenchée dans le cadre de l'envoi d'un message contenant un lien UNC (Universal Naming Convention) vers une ressource partagée en SMB. La connexion du client Outlook à cet emplacement est automatique.

La vulnérabilité a été corrigée lors du Patch Tuesday de Microsoft de mars 2023. Elle a toutefois été activement exploitée au préalable. En outre, Microsoft a ultérieurement publié un correctif pour une vulnérabilité permettant de continuer à exploiter CVE-2023-23397.

Les hackers de Forest Blizzard

D'après l'équipe Threat Intelligence de Microsoft, le groupe Forest Blizzard s'appuie sur la vulnérabilité CVE-2023-23397 et d'autres exploits, comme pour la vulnérabilité CVE 2023-38831 dans WinRAR, afin de cibler principalement des gouvernements, le secteur de l'énergie et du transport, ainsi que des ONG aux États-Unis, en Europe et au Moyen-Orient.

Forest Blizzard serait lié à une unité du service de renseignement militaire russe. Microsoft cite d'autres noms attribués et en lien avec cette unité comme Strontium, APT28, Sednit, Sofacy et Fancy Bear.

" Forest Blizzard affine continuellement son empreinte en employant de nouvelles techniques personnalisées et de nouveaux malwares, ce qui laisse penser qu'il s'agit d'un groupe bien formé et disposant de ressources suffisantes ", souligne Microsoft.

Une récente alerte en France

Pour la France, l'Agence nationale de la sécurité des systèmes d'information (Anssi) a publié en octobre un rapport d'analyse des chaînes de compromission et du mode opératoire du groupe de cyberespionnage APT28. La vulnérabilité CVE-2023-23397 y figure en bonne place.