Des chercheurs en cybersécurité de la société slovaque ESET ont découvert deux vulnérabilités 0-day (jusqu’alors inconnues) dans les produits Mozilla Firefox et Windows. Dans un rapport publié le 26 novembre, ils expliquent que ces deux failles, combinées sous la forme d’un exploit 0 clic (sans interaction de l’utilisateur), ont permis à des hackers russes de cibler plusieurs centaines d’appareils en Europe et en Amérique du Nord.
Une simple visite sur le site Web pour déployer le malware
La première faille détectée par ESET, intitulée CVE-2024-9680, présente un score de gravité critique (CVSS à 9,8). Il s’agit d’un bug d’utilisabilité dans la fonctionnalité de chronologie d’animation de Mozilla Firefox, permettant l’exécution de code malveillant dans le bac à sable du navigateur. La seconde, avec un score de gravité de 8,8, est liée à une erreur d’élévation de privilèges dans la fonctionnalité Planificateur de tâches Windows. Il donne aux pirates la possibilité d’exécuter du code malveillant directement dans l’environnement de l’utilisateur.
Le groupe de hackers RomCom a combiné ces deux vulnérabilités pour créer un exploit en 0 clic. Il suffisait que ses cibles visitent un site Web malveillant pour qu’une porte dérobée soit téléchargée et exécutée. Le malware ainsi déployé a permis aux cybercriminels d’exécuter des commandes à distance mais aussi de délivrer de nouvelles charges utiles malveillantes. “Bien que nous ne sachions pas comment le lien vers le faux site Web est distribué, si la page est accessible à l’aide d’un navigateur vulnérable, une charge utile est supprimée et exécutée sur l’ordinateur de la victime”notez ESET.
La France serait le deuxième pays le plus touché
Les failles 0-day ont depuis été corrigées par Mozilla le 9 octobre et par Microsoft le 12 novembre. Selon la télémétrie réalisée par la société de cybersécurité, le nombre de cibles potentielles (ayant visité les sites hébergeant le malware) varie de 1 à 250, en Europe, en Amérique du Nord et en Nouvelle-Zélande. Sans connaître le chiffre exact, la France arrive au deuxième rang des Etats les plus touchés (voir image ci-dessous), derrière la République tchèque et devant l’Allemagne.
Également connu sous le nom de Storm-0978 et « Tropical Scorpius », le groupe de hackers RomCom cible principalement les organisations gouvernementales et de défense à des fins d’espionnage. Certaines de ses activités sont également liées à des opérations de ransomware et au vol d’identifiants dans le cadre de campagnes de renseignement. En juillet 2023, RomCom avait déjà exploité une faille 0-day dans plusieurs produits Microsoft Windows et Office, ciblant les organisations participant au sommet de l’Otan à Vilnius (Lituanie).
Choisi pour toi
