ESET Research a annoncé avoir découvert deux vulnérabilités zero-day. D’une part la CVE-2024-9680 dans les produits Mozilla (avec un score CVSS de 9,8 sur une échelle de 0 à 10) et d’autre part la CVE-2024-49039 dans Windows.
Ces deux vulnérabilités sont exploitées par le groupe APT RomCom, aligné sur les intérêts de la Russie. Les failles permettent l’exécution de code à distance sans interaction utilisateur, conduisant à l’installation d’une porte dérobée. Les attaques ont principalement ciblé l’Ukraine, l’Europe et les États-Unis entre octobre et novembre 2024. La sophistication dans la découverte et l’exploitation de ces failles démontre la capacité avancée du groupe à développer des exploits furtifs.
En 2024, ESET a révélé les activités du groupe ciblant les secteurs de la défense et de l’énergie en Ukraine, les secteurs pharmaceutiques et de l’assurance aux États-Unis, le secteur juridique en Allemagne et des entités gouvernementales en Europe.
Le mécanisme d’attaque est le suivant. Un premier site, souvent une imitation d’un site légitime, redirige ensuite la future victime vers un autre serveur distribuant l’exploit. Si l’exploit réussit, un shellcode télécharge et exécute la porte dérobée de RomCom (Un groupe qui mène des opérations de cyberespionnage et de cybercriminalité dans divers secteurs d’activités).
« Bien que la méthode de propagation du lien du faux site Web reste inconnue, un navigateur vulnérable permet l’exécution automatique d’une charge utile malveillante sur l’ordinateur de la victime, sans aucune interaction de sa part. », explique Damien Schaeffer, chercheur chez ESET, qui a découvert les deux vulnérabilités. « Nous tenons à remercier l’équipe de Mozilla d’avoir été très réactive et à souligner leur impressionnante éthique de travail pour publier un correctif en une journée », ajoute-t-il.
C’est au moins la deuxième fois que RomCom exploite une vulnérabilité zero-day d’importance, après l’utilisation de CVE-2023-36884 via Microsoft Word en juin 2023.
Depuis plus de 30 ans, ESET développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre des menaces digitales de plus en plus sophistiquées.
