Les États-Unis alertent que des pirates soutenus par des puissances étrangères exploitent un vieux bug Microsoft Outlook.

 
Le US Cyber ​​Command, commandement chargé de la sécurité de l’information pour le ministère américain de la Défense, a lancé un avertissement concernant la tentative d’un pays étranger non nommé de propager un logiciel malveillant via l’exploitation d’une vulnérabilité dans Microsoft Outlook.
L’alerte, publiée sur Twitter, fait référence à CVE-2017-11774, une vulnérabilité dans Outlook qui, si exploitée, pourrait permettre à un attaquant de contourner les procédures de sécurité et d’exécuter des commandes arbitraires sur les ordinateurs Windows ciblés.
Microsoft a publié un correctif en octobre 2017, mais le groupe de piratage APT33 (également connu sous le nom de Elfin) soutenu par l’Iran a continué d’utiliser cette faille de sécurité.
Le US Cyber ​​Command craint manifestement que certaines organisations à risque n’aient toujours pas appliqué le correctif de Microsoft, qui supprime l’ancienne fonctionnalité «page d’accueil» d’Outlook vulnérable aux attaques.
Cette fonctionnalité “page d’accueil” d’Outlook a d’ailleurs été peu utilisée et la plupart des entreprises en ignorent probablement l’existence, ce qui signifie qu’elles ne risquent pas d’être perdues par l’application du correctif et y gagneront une sécurité accrue.
Les systèmes peuvent être encore mieux protégés en s’assurant que des solutions de sécurité multi-couches sont en place, que les bonnes pratiques en matière de mots de passe sont suivies et que l’authentification à plusieurs facteurs est activée.
La dernière alerte de l’US Cyber ​​Command survient à peine plus d’une semaine après que la CISA (Agence de la cybersécurité et de la sécurité des infrastructures) du ministère de l’Intérieur a expressément averti de l’activité accrue de groupes de piratage iraniens et exhorté les entreprises à prendre des mesures de protection.
Le 22 juin, la CISA a mis en garde contre ce qu’ils décrivent comme une «hausse récente» des menaces de cybersécurité liées à l’Iran, et a décrit certaines des tactiques utilisées :
 

Les opérateurs du régime iranien recourent de plus en plus à des attaques destructrices, cherchant à faire beaucoup plus que voler des données et de l’argent. Ces efforts sont souvent rendus possibles par des tactiques courantes telles que le spear phishing (harponnage) et le bourrage des identifiants et mots de passe. Ce qui pourrait commencer par une compromission de compte, où vous pensez ne perdre que des données, peut rapidement devenir une situation dans laquelle vous avez perdu tout votre réseau.

 
APT33 est peut-être mieux connu pour son utilisation du terrible logiciel malveillant d’effacement de disque Shamoon contre des entreprises du secteur de l’énergie.
Le programme malveillant Shamoon (également appelé Disttrack) a fait la une des journaux en août 2012 lorsqu’il a été utilisé pour attaquer la compagnie pétrolière saoudienne Saudi Aramco, écrasant les données stockées sur plus de 30 000 ordinateurs Windows, avant d’afficher l’image d’un drapeau américain en flammes.