Le texte suivant est issu d’un communiqué de presse et ne reflète en aucun cas l’avis de la rédaction.
• L’analyse des exploits a découvert la première vulnérabilité, attribuée à CVE-2024-9680 : un bug d’utilisation après libération dans la fonctionnalité de chronologie d’animation de Firefox. ESET a signalé la vulnérabilité à Mozilla le 8 octobre 2024 ; cela a été corrigé dans la journée.
• Cette vulnérabilité critique a un score de 9,8 sur 10.
• Une analyse plus approfondie a révélé une autre vulnérabilité zero-day dans Windows : un bug d’élévation de privilèges, attribué à CVE 2024 49039, qui permet au code de s’exécuter en dehors du bac à sable de Firefox. Microsoft a publié un correctif pour ce bug le 12 novembre 2024.
• Ensemble, les deux vulnérabilités Zero Day ont fourni à RomCom un exploit qui ne nécessite aucune interaction de l’utilisateur autre que la navigation sur un site Web spécialement conçu.
• Les victimes potentielles qui ont visité les sites Web hébergeant l’exploit se trouvaient principalement en Europe et en Amérique du Nord.
MONTRÉAL, BRATISLAVA, 26 novembre 2024 — Les chercheurs d’ESET ont découvert CVE-2024-9680 dans les produits Mozilla, une vulnérabilité jusqu’alors inconnue exploitée par le groupe russe APT RomCom. Une analyse plus approfondie a révélé une autre vulnérabilité zero-day dans Windows : un bug d’élévation de privilèges, désormais attribué à CVE-2024-49039. Lorsque, lors d’une attaque réussie, une victime consulte une page Web contenant l’exploit, un adversaire peut exécuter du code arbitraire – sans aucune interaction de l’utilisateur (zéro clic) – conduisant à l’installation du portail RomCom volé sur l’ordinateur de la victime. Cette porte utilisée par le groupe est capable d’exécuter des commandes et de télécharger des modules supplémentaires sur l’appareil de la victime. La vulnérabilité liée à Mozilla découverte le 8 octobre par ESET Research a un score CVSS de 9,8 sur une échelle de 0 à 10. D’ici 2024, RomCom a touché l’Ukraine et d’autres pays européens, ainsi que les États-Unis. Selon la télémétrie ESET, du 10 octobre 2024 au 4 novembre 2024, les victimes potentielles qui ont visité les sites Web hébergeant l’exploit se trouvaient principalement en Europe et en Amérique du Nord.
Le 8 octobre 2024, les chercheurs d’ESET ont découvert la vulnérabilité CVE-2024-9680. Il s’agit d’un bug d’utilisation après libération dans la fonctionnalité de chronologie d’animation de Firefox. Mozilla a corrigé la vulnérabilité le 9 octobre 2024. Une analyse plus approfondie a révélé une autre vulnérabilité zero-day dans Windows : un bug d’élévation de privilèges, désormais attribué à CVE 2024 49039, qui permet au code de s’exécuter en dehors du bac à sable de Firefox. Le 12 novembre 2024, Microsoft a publié un correctif pour cette deuxième vulnérabilité.
La vulnérabilité CVE-2024-9680, découverte le 8 octobre, permet aux versions vulnérables de Firefox, Thunderbird et du navigateur Tor d’exécuter du code dans le contexte restreint du navigateur. Avec la vulnérabilité Windows encore inconnue CVE-2024-49039 – qui a un score CVSS de 8,8 – du code arbitraire peut être exécuté dans le contexte de l’utilisateur connecté. Utilisées ensemble, les deux vulnérabilités zero-day fournissent à RomCom un exploit ne nécessitant aucune interaction de l’utilisateur. Ce niveau de sophistication démontre l’intention et les moyens de RomCom pour obtenir ou développer des capacités furtives. De plus, des tentatives d’exploitation réussies ont permis d’implémenter avec succès la porte dérobée RomCom dans ce qui semble être une campagne à grande échelle.
RomCom (également connu sous le nom de Storm-0978, Tropical Scorpius ou UNC2596) est un groupe pro-russe qui mène des campagnes opportunistes contre des industries sélectionnées et des opérations d’espionnage ciblées. Le groupe se concentre désormais sur des opérations d’espionnage pour recueillir des renseignements, parallèlement à des opérations de cybercriminalité plus classiques. En 2024, ESET a découvert les opérations de cyberespionnage et de cybercriminalité de RomCom contre des entités gouvernementales, les secteurs de la défense et de l’énergie en Ukraine, les secteurs pharmaceutique et des assurances aux États-Unis, le secteur juridique en Allemagne et des entités gouvernementales en Europe.
« La chaîne de compromission consiste en un faux site Web qui redirige la victime potentielle vers le serveur hébergeant l’exploit, et si cela réussit, un shellcode est exécuté pour télécharger et exécuter la porte dérobée RomCom. Nous ne savons pas comment est distribué le lien vers le faux site Internet. Si la page est accessible à l’aide d’un navigateur vulnérable, une charge utile est supprimée et exécutée sur l’ordinateur de la victime sans qu’aucune interaction de l’utilisateur ne soit requise », explique Damien Schaeffer, chercheur chez ESET, qui a découvert les deux vulnérabilités. Et d’ajouter : “Nous remercions l’équipe Mozilla pour sa grande réactivité et son éthique de travail impressionnante en publiant un correctif en une journée.” Chaque vulnérabilité a été corrigée respectivement par Mozilla et Microsoft.
C’est au moins la deuxième fois que RomCom est surpris en train d’exploiter une vulnérabilité zero-day importante « dans la nature », suite à l’abus de CVE-2023-36884 via Microsoft Word en juin 2023.
Pour une analyse plus détaillée et une analyse technique des vulnérabilités découvertes, consultez le dernier blog d’ESET Research « RomCom exploite Firefox et Windows Zero Days in the Wild » sur www.welivesecurity.com. Suivez également ESET Research sur Twitter ESET Research sur Twitter (aujourd’hui connu sous le nom de X) pour connaître les dernières nouvelles en matière de recherche.
