Devis de remise multi-licences
Données concernant les menaces Menace persistante avancée (APT) CVE-2026-21509 Vulnérabilité de Microsoft Office

CVE-2026-21509 Vulnérabilité de Microsoft Office

Par Mezo en Menace persistante avancée (APT)
Se traduisent par :

Le groupe de cybermenaces APT28, lié à la Russie et également connu sous le nom de code UAC-0001, est responsable d'une nouvelle vague de cyberattaques exploitant une faille de sécurité récemment découverte dans Microsoft Office. Cette activité, menée sous le nom de campagne « Opération Neusploit », constitue l'un des premiers cas d'exploitation concrète de cette vulnérabilité suite à sa divulgation publique.

Des chercheurs en sécurité ont observé le groupe exploiter la faille le 29 janvier 2026, soit trois jours seulement après que Microsoft a révélé la vulnérabilité, ciblant des utilisateurs en Ukraine, en Slovaquie et en Roumanie.

CVE-2026-21509 : Contournement d’une fonction de sécurité ayant un impact réel

La vulnérabilité exploitée, CVE-2026-21509, présente un score CVSS de 7,8 et affecte Microsoft Office. Classée comme une faille de sécurité, elle permet à un attaquant de diffuser un document Office spécialement conçu qui peut être exécuté sans autorisation, ouvrant ainsi la voie à l'exécution de code arbitraire dans le cadre d'une attaque plus vaste.

Tactiques d’ingénierie sociale et d’évasion spécifiques à la région

La campagne reposait en grande partie sur une ingénierie sociale ciblée. Des documents leurres ont été rédigés en anglais, ainsi qu'en roumain, en slovaque et en ukrainien afin de renforcer la crédibilité auprès des cibles locales. L'infrastructure de diffusion était configurée avec des mesures d'évasion côté serveur, garantissant que les DLL malveillantes n'étaient servies que lorsque les requêtes provenaient des régions géographiques visées et incluaient les en-têtes HTTP User-Agent attendus.

Stratégie de double distribution via des fichiers RTF malveillants

L'opération repose essentiellement sur l'exploitation de fichiers RTF malveillants pour corriger la vulnérabilité CVE-2026-21509 et déployer l'un des deux programmes d'installation, chacun ayant un objectif opérationnel différent. L'un permet le vol d'adresses électroniques, tandis que l'autre initie une intrusion plus complexe, en plusieurs étapes, aboutissant au déploiement d'un implant de commande et de contrôle complet.

MiniDoor : Vol ciblé d’emails Outlook

Le premier programme d'installation installe MiniDoor, une DLL en C++ conçue pour collecter les données de messagerie des dossiers Microsoft Outlook, notamment la boîte de réception, les courriers indésirables et les brouillons. Les messages volés sont exfiltrés vers deux comptes de messagerie contrôlés par l'attaquant et codés en dur :
ahmeclaw2002@outlook[.]com et ahmeclaw@proton[.]me.

MiniDoor est considéré comme un dérivé léger de NotDoor (également connu sous le nom de GONEPOSTAL), un outil précédemment documenté en septembre 2025.

PixyNetLoader et la chaîne d’implants Covenant

Le second programme d'installation, appelé PixyNetLoader, permet une séquence d'attaque bien plus sophistiquée. Il extrait des composants embarqués et assure la persistance du système par détournement d'objets COM. Parmi les fichiers extraits figurent un chargeur de shellcode nommé EhStoreShell.dll et une image PNG nommée SplashScreen.png.

Le rôle du chargeur est d'extraire et d'exécuter le code malveillant dissimulé dans l'image par stéganographie. Cette logique malveillante ne s'active que si l'environnement hôte n'est pas identifié comme un bac à sable d'analyse et si la DLL est lancée par explorer.exe ; sinon, elle reste inactive pour éviter d'être détectée.

Le shellcode décodé charge finalement un assembly .NET intégré : un implant Grunt associé au framework de commande et de contrôle open source COVENANT. L’utilisation antérieure de Covenant Grunt par APT28 a été documentée en septembre 2025 lors de l’opération Phantom Net Voxel.

Continuité tactique avec l’opération Phantom Net Voxel

Bien que l'opération Neusploit remplace la méthode d'exécution de macros VBA de la campagne précédente par une approche basée sur les DLL, les techniques sous-jacentes restent globalement les mêmes. Celles-ci comprennent :

  • Détournement du port COM à des fins d'exécution et de persistance
  • mécanismes de proxy DLL
  • Obfuscation de chaînes basée sur XOR
  • Intégration stéganographique de chargeurs de shellcode et de charges utiles Grunt de Covenant dans des images PNG

Cette continuité souligne la préférence d'APT28 pour l'évolution de méthodes éprouvées plutôt que pour l'adoption d'outils entièrement nouveaux.

L’alerte du CERT-UA confirme un ciblage plus large

La campagne a coïncidé avec un avertissement du CERT-UA (Certified Computer Emergency Response Team of Ukraine), signalant l'exploitation de la vulnérabilité CVE-2026-21509 par le groupe APT28 via des documents Microsoft Word. Plus de 60 adresses électroniques liées aux autorités centrales ukrainiennes ont été ciblées. L'analyse des métadonnées a révélé qu'au moins un document leurre avait été créé le 27 janvier 2026, confirmant la rapidité avec laquelle la vulnérabilité a été exploitée.

Livraison basée sur WebDAV et exécution finale de la charge utile

L'analyse a révélé que l'ouverture du document malveillant dans Microsoft Office déclenche une connexion WebDAV à une ressource externe. Cette interaction télécharge un fichier dont le nom est un raccourci et qui contient du code de programme intégré, lequel récupère et exécute ensuite une charge utile supplémentaire.

Ce processus reproduit en définitive la chaîne d'infection de PixyNetLoader, conduisant au déploiement de l'implant Grunt du framework COVENANT et accordant aux attaquants un accès distant persistant au système compromis.

 

Tendance

Le plus regardé

Chargement...