Un groupe de hackers russes a exploité des failles 0-day dans Firefox et Windows

Les chercheurs en cybersécurité de la société slovaque ESET ont découvert deux vulnérabilités 0-day (jusqu'alors inconnues) dans des produits de Mozilla Firefox et de Windows. Dans un rapport publié le 26 novembre, ils expliquent que ces deux failles, combinées sous forme d'exploit 0-clic (sans interaction de l'utilisateur), ont permis à des hackers russes de cibler plusieurs centaines d'appareils en Europe et en Amérique du Nord.

Une simple visite de site web pour déployer le malware

La première faille détectée par ESET, intitulée CVE-2024-9680, présente un score de sévérité critique (CVSS à 9,8). Il s'agit d'un bug d'utilisation dans la fonctionnalité de chronologie d'animation de Mozilla Firefox, permettant d'exécuter du code malveillant dans le sandbox (environnement isolé) du navigateur. La deuxième, d'un score de sévérité 8,8, est liée à une erreur d'élévation des privilèges dans la fonctionnalité du planificateur de tâches Windows. Elle donne la possibilité aux hackers d'exécuter du code malveillant directement dans l'environnement de l'utilisateur.

Le groupe de hackers RomCom a combiné ces deux vulnérabilités pour créer un exploit 0-clic. Il suffisait alors que ses cibles visitent un site web malveillant pour qu'une backdoor soit téléchargée et exécutée. Le malware ainsi déployé permettait aux cybercriminels d'exécuter des commandes à distance mais aussi de délivrer de nouvelles charges malveillantes. “Bien que nous ne sachions pas comment le lien vers le faux site Web est distribué, si la page est atteinte à l'aide d'un navigateur vulnérable, une charge utile est déposée et exécutée sur l'ordinateur de la victime”, note ESET.

La France serait le deuxième pays le plus touché

Les failles 0-day ont depuis été corrigées par Mozilla le 9 octobre et par Microsoft le 12 novembre. D'après la télémétrie effectuée par la société de cybersécurité, le nombre de cibles potentielles (ayant visité des sites Web hébergeant le malware) varie de 1 à 250, en Europe, en Amérique du Nord et en Nouvelle-Zélande. Sans connaître de nombre exact, la France figure au deuxième rang des États les plus touchés (cf.image ci-dessous), derrière la République Tchèque et devant l'Allemagne.

Également connu sous le nom de Storm-0978 et de “Tropical Scorpius”, le groupe de hackers RomCom cible majoritairement des organisations gouvernementales et de défense à des fins d'espionnage. Certaines de ses activités sont aussi liées à des opérations de ransomware et de vol d'identifiants dans le cadre de campagnes de renseignement. En juillet 2023, RomCom avait déjà exploité une faille 0-day dans plusieurs produits Microsoft Windows et Office, ciblant alors des organisations participant au sommet de l'Otan à Vilnius (Lituanie).

Sélectionné pour vous

Apple alerte des journalistes, militants et politiques visés par des logiciels espions sophistiqués

SentinelOne rachète Observo AI pour améliorer l'exploitation des données de sécurité

L'Otan migre ses applications critiques vers Oracle