Microsoft alerte d'une vulnérabilité de sécurité 0-day corrigée qui est référencée par CVE-2021-40444. Les attaquants tentent de l'exploiter en utilisant des documents Microsoft Office malveillants spécialement conçus.

Les détails de cette vulnérabilité sont apparus pour la première fois le 7 septembre après que des chercheurs d'EXPMON ont alerté le fabricant de Windows au sujet d'une "attaque zero-day très sophistiquée" visant les utilisateurs de Microsoft Office en tirant parti d'une vulnérabilité d'exécution de code à distance dans MSHTML (alias Trident). Celui-ci est un moteur de navigateur propriétaire pour Internet Explorer, désormais abandonné, et qui est utilisé dans Office pour prendre en charge le contenu Web dans les documents Word, Excel et PowerPoint.

Le Microsoft Threat Intelligence Center a déclaré dans un article technique que ces attaques utilisaient la vulnérabilité citée dans le cadre d'une campagne d'accès initial qui distribuait des chargeurs personnalisés Cobalt Strike Beacon qui communiquaient avec une infrastructure que Microsoft associe à de multiples campagnes cybercriminelles, y compris des ransomwares à commande humaine.

Microsoft précise qu'un attaquant doit convaincre un utilisateur d'ouvrir un document piégé qui incorpore un contrôle ActiveX malveillant avec exécution par le moteur de rendu du navigateur. Il explique aussi que le mode protégé par défaut de Microsoft Office à l'ouverture d'un document est une mesure de sécurité contre l'attaque.

L'antivirus Microsoft Defender a été mis à jour pour prendre en compte cette vulnérabilité comme solution de contournement et un correctif pour la vulnérabilité a été publié dans le cadre de ses mises à jour Patch Tuesday une semaine plus tard, le 14 septembre.

La société a attribué ces activités à des groupes de cybercriminels connus sous les noms de DEV-0413 et DEV-0365, ce dernier étant le surnom donné par la société au groupe de menaces émergentes associé à la création et à la gestion de l'infrastructure Cobalt Strike utilisée dans les attaques.