Origine : bjCSIRT

Numéro : 2023/ALERTE/033

Date de l’alerte : 13/07/2023

APERÇU :

Plusieurs versions de Windows et des produits Office de Microsoft sont affectées par une vulnérabilité d’exécution de code à distance (RCE) qui permettrait à un acteur malveillant d’exécuter des commandes sur une machine Windows distante.

DESCRIPTION :

Windows est un système d’exploitation largement utilisé, développé par Microsoft, prenant en charge une multitude d’applications telles que Word, Excel et PowerPoint qui sont des outils de traitement de texte, de tableur et de présentation, utilisés à des fins personnelles et professionnelles.

Ces outils de Microsoft présentent une vulnérabilité libellée CVE-2023-36884, qui permettrait à un acteur malveillant, à partir d’un document Office malveillant, d’exécuter du code à distance sur la machine cible. Cependant, l’exploitation de cette vulnérabilité nécessite une action d’ouverture du document malveillant préalablement transmis par le biais d’une technique d’ingénierie sociale.

Cette vulnérabilité est de sévérité élevée et son score est de 8.3.

IMPACT :

• Atteinte à la confidentialité des données ;
• Atteinte à l’intégrité des données ;
  
• Atteinte à la disponibilité des données.

SYSTEMES AFFECTÉS : 

• Windows 10 Version 1607
• Windows 10 Version 1809
• Windows 10 Version 21H2
• Windows 10 Version 22H2
• Windows 10
• Windows 11 Version 22H2
• Windows 11 version 21H2
• Windows Server 2008 R2
• Windows Server 2008
• Windows Server 2012
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019
• Windows Server 2022
• Microsoft Office 2019
• Microsoft Office LTSC 2021
• Microsoft Word 2013 Service Pack 1
• Microsoft Word 2016

MESURES À PRENDRE : 

Utiliser Microsoft Defender pour Office 365 pour atténuer les risques d’exploitation de la vulnérabilité.

Mettre à jour aux versions supérieures ou égales à la version 2302 les applications Microsoft Office 365.

Utiliser la règle Empêcher toutes les applications Office de créer des processus enfants pour réduire la surface d’attaque.

Définir la valeur de la clé de registre FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION à 1 pour éviter toute exploitation.

REFERENCES :

• https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36884
• https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives/
• https://cve.circl.lu/cve/CVE-2023-36884
• https://nvd.nist.gov/vuln/detail/CVE-2023-36884