Les experts de Mandiant estiment que la vulnérabilité Outlook zero-day (CVE-2023-23397) a été utilisée dans des attaques d'organisation et d'infrastructure critique (KRITIS) pendant près de 12 mois et a également été utilisée par des acteurs russes dans l'attaque en Ukraine.
Mandiant a suivi et documenté l'exploitation précoce de la vulnérabilité sous le nom de groupe provisoire UNC4697. Les attaques ont maintenant été publiquement attribuées à APT28, un acteur russe associé aux services secrets du GRU. La vulnérabilité a été déployée contre les agences gouvernementales, les entreprises de logistique, les opérateurs pétroliers et gaziers, les sous-traitants de la défense et l'industrie des transports en Pologne, en Ukraine, en Roumanie et en Turquie depuis avril 2022.
Vulnérabilité Outlook exploitée plus longtemps
Mandiant pense que la vulnérabilité CVE-2023-23397 sera rapidement et largement exploitée par une variété d'acteurs étatiques et à motivation financière, y compris des criminels et des acteurs du cyberespionnage. À court terme, ces joueurs s'efforceront d'appliquer des correctifs pour s'implanter dans des systèmes non corrigés.
- Les preuves de concepts de la vulnérabilité, qui ne nécessitent pas d'interaction de l'utilisateur, sont déjà largement disponibles.
- Mandiant pense que la vulnérabilité n'a pas seulement été utilisée pour recueillir des renseignements stratégiques. Les infrastructures critiques à l'intérieur et à l'extérieur de l'Ukraine ont été spécifiquement ciblées. Ce sont des mesures préparatoires à des attaques perturbatrices ou destructrices.
- Les solutions de messagerie basées sur le cloud ne sont pas affectées par cette vulnérabilité à moins qu'Outlook ne soit utilisé sur les systèmes Windows.
"C'est une preuve supplémentaire que les cyberattaques agressives, perturbatrices et destructrices ne se limitent peut-être pas à l'Ukraine et un rappel que nous ne pouvons pas tout voir. Bien que se préparer à une attaque ne signifie pas nécessairement un danger imminent, la situation géopolitique devrait nous inquiéter », a déclaré John Hultquist, responsable de Client Threat Intelligence chez Google Cloud, à propos de la vulnérabilité zero-day.
« C'est aussi un rappel que nous ne sommes pas en mesure de voir tout ce qui se passe dans ce conflit. Ce sont des espions qui ont réussi à échapper à notre attention pendant longtemps. C'est une question de diffusion. La vulnérabilité zero-day est un excellent outil pour les acteurs des États-nations et les criminels qui cherchent à faire de gros profits à court terme. La course a déjà commencé.
Plus sur Mandiant.com
À propos des clients Mandiant est un leader reconnu de la cyberdéfense dynamique, des renseignements sur les menaces et de la réponse aux incidents. Avec des décennies d'expérience sur la cyber ligne de front, Mandiant aide les organisations à se défendre en toute confiance et de manière proactive contre les cybermenaces et à répondre aux attaques. Mandiant fait désormais partie de Google Cloud.