L'United States Cyber Command diffuse un avertissement au sujet d'une tentative d'un pays étranger - non cité - de propager un malware via l'exploitation d'une vulnérabilité dans Microsoft Outlook. La vulnérabilité en question est référencée CVE-2017-11774.
Il s'agit donc d'une vieille vulnérabilité de sécurité qui a été comblée par Microsoft en octobre 2017. À l'époque, elle n'avait pas fait l'objet d'une divulgation publique ou d'une exploitation active dans des attaques.
Microsoft avait évoqué une vulnérabilité permettant à un attaquant de contourner des fonctionnalités de sécurité (sandboxing) et d'exécuter des commandes arbitraires.
To our broader audience: "hxxps" is industry standard instead of "https" to prevent inadvertent clicks on the link.
— USCYBERCOM Malware Alert (@CNMF_VirusAlert) 2 juillet 2019
La cyberdéfense américaine s'inquiète manifestement du fait que certaines organisations n'ont pas encore appliqué le patch. Pour des experts en sécurité informatique, l'exploit d'Outlook est en rapport avec un groupe de cyberespionnage soutenu par l'Iran et notamment connu en tant que APT33.
FireEye fait le lien et précise que Outlook fait office de vecteur d'attaque pour un assaillant qui dispose au préalable d'identifiants valides. Pour APT33, de tels identifiants sont souvent obtenus avec une technique de password spraying.
Cette pulvérisation de mots de passe fait référence à une attaque s'appuyant sur un ensemble limité de mots de passe faibles qui sont testés sur des comptes d'employés.
FireEye pointe du doigt le " laxisme " de certaines organisations avec " l'absence de solutions d'authentification multifacteur pour les accès aux comptes email et la non-application des correctifs pour CVE-2017-11774. "
L'alerte de l'United States Cyber Command intervient dans un contexte de cyberguerre entre les États-Unis et l'Iran. C'est la première fois qu'une alerte de ce style concerne l'Iran… ou c'est-à-dire pas la Russie.
