Titre: ESET Research a découvert des vulnérabilités zero-day et zero-click dans Mozilla et Windows exploitées par le groupe APT RomCom, lié à la Russie (26/11/2024 Par cda)
• ESET Research a découvert deux vulnérabilités encore inconnues, l'une dans Mozilla et l'autre dans Windows, exploitées par le groupe APT RomCom pro-russe.
• L'analyse de l'exploit a permis de découvrir la première vulnérabilité, attribuée à CVE-2024-9680 : un bug d'utilisation après libération dans la fonctionnalité de chronologie d'animation de Firefox. ESET a signalé la vulnérabilité à Mozilla le 8 octobre 2024 ; elle a été corrigée dans la journée.
• Cette vulnérabilité critique a un score de 9,8 sur 10.
• Une analyse approfondie a révélé une autre vulnérabilité zero-day dans Windows : un bug d'escalade de privilèges, attribué à CVE 2024 49039, qui permet au code de s'exécuter en dehors du sandbox de Firefox. Microsoft a publié un correctif pour ce bug le 12 novembre 2024.
• Ensemble, les deux vulnérabilités zero-day ont fourni à RomCom un exploit qui ne nécessite aucune autre interaction de l'utilisateur que la navigation sur un site Web spécialement conçu.
• Les victimes potentielles ayant visité des sites Web hébergeant l'exploit, étaient principalement situées en Europe et en Amérique du Nord.

MONTREAL, BRATISLAVA, le 26 novembre 2024 — Les chercheurs d’ESET ont découvert CVE-2024-9680 dans les produits Mozilla, une vulnérabilité encore inconnue exploitée par le groupe APT RomCom, lié à la Russie. Une analyse approfondie a révélé une autre vulnérabilité zero-day dans Windows : un bug d’escalade de privilèges, désormais attribué à CVE-2024-49039. Lorsqu’en cas d’attaque réussie, une victime consulte une page Web contenant l’exploit, un adversaire peut exécuter du code arbitraire – sans aucune interaction de l’utilisateur (zéro clic) – ce qui conduit à l’installation de la porte dérobée de RomCom sur l’ordinateur de la victime. Cette porte utilisée par le groupe est capable d’exécuter des commandes et de télécharger des modules supplémentaires sur l’appareil de la victime. La vulnérabilité liée à Mozilla découverte le 8 octobre par ESET Research a un score CVSS de 9,8 sur une échelle de 0 à 10. En 2024, RomCom a frappé l’Ukraine et d’autres pays européens, ainsi que les États-Unis. Selon la télémétrie d’ESET, du 10 octobre 2024 au 4 novembre 2024, les victimes potentielles ayant visité les sites Web qui hébergent l'exploit étaient principalement en Europe et en Amérique du Nord.

Le 8 octobre 2024, les chercheurs d’ESET ont découvert la vulnérabilité CVE-2024-9680. C’est un bug d’utilisation après libération dans la fonctionnalité de chronologie d’animation de Firefox. Mozilla a corrigé la vulnérabilité le 9 octobre 2024. Une analyse approfondie a révélé, une autre vulnérabilité zero-day dans Windows : un bug d’escalade de privilèges, désormais attribué au CVE 2024 49039, qui permet au code de s’exécuter en dehors du bac à sable de Firefox. Le 12 novembre 2024, Microsoft a publié un correctif pour cette deuxième vulnérabilité.

La vulnérabilité CVE-2024-9680, découverte le 8 octobre, permet aux versions vulnérables de Firefox, de Thunderbird et du navigateur Tor d’exécuter du code dans le contexte restreint du navigateur. Avec la vulnérabilité CVE-2024-49039 encore inconnue de Windows - qui a un score CVSS de 8,8 - du code arbitraire peut être exécuté dans le contexte de l’utilisateur connecté. Utilisée ensemble les deux vulnérabilités zero-day fournissent à RomCom un exploit ne nécessitant aucune interaction de l’utilisateur. Ce niveau de sophistication démontre l’intention et les moyens de RomCom d’obtenir ou de développer des capacités furtives. De plus, des tentatives d’exploitation réussies ont permis de mettre en place la porte dérobée RomCom dans ce qui semble être une campagne à grande échelle.

RomCom (aussi connu comme Storm-0978, Tropical Scorpius ou UNC2596) est un groupe pro-russe qui mène et des campagnes opportunistes contre des secteurs d’activité sélectionnés et des opérations d’espionnage ciblées. Le groupe se concentre désormais sur des opérations d’espionnage pour recueillir des renseignements, en parallèle à des opérations de cybercriminalité plus conventionnelles. En 2024, ESET a découvert des opérations de cyber-espionnage et de cybercriminalité de RomCom contre des entités gouvernementales, les secteurs de la défense et de l’énergie en Ukraine, les secteurs pharmaceutiques et des assurances aux US, le secteur juridique en Allemagne et des entités gouvernementales en Europe.

« La chaîne de compromission se compose d’un faux site Web qui redirige la victime potentielle vers le serveur hébergeant l’exploit, et si cela réussit, un shellcode est exécuté qui télécharge et exécute la porte dérobée RomCom. Nous ne savons pas comment le lien vers le faux site Web est distribué. Si la page est atteinte à l’aide d’un navigateur vulnérable, une charge utile est déposée et exécutée sur l’ordinateur de la victime sans qu’aucune interaction de l’utilisateur ne soit requise », dit Damien Schaeffer, le chercheur d’ESET, qui a découvert les deux vulnérabilités. Et d’ajouter : « Nous remercions l’équipe de Mozilla pour sa grande réactivité et son éthique de travail impressionnante afin de publier un correctif en une journée ». Chaque vulnérabilité a été corrigée, respectivement par Mozilla et Microsoft.

C'est au moins la deuxième fois que RomCom est surpris exploitant une vulnérabilité zero-day importante ‘in the wild’, après l'abus de CVE-2023-36884 via Microsoft Word en juin 2023.

Pour une analyse plus détaillée et une analyse technique des vulnérabilités découvertes, consultez le dernier le blog d'ESET Research“RomCom exploits Firefox and Windows zero days in the wild”sur www.welivesecurity.com . Suivez aussi ESET Research sur Twitter ESET Research on Twitter (today known as X) pour les dernières nouvelles en matière de recherche.
Retour