Une attaque « zéro clic » a frappé la France : les hackers russes exploitent des failles critiques dans Windows

Des hackers russes ont exploité une paire de failles pour attaquer les ordinateurs sous Windows. La cyberattaque a été découverte par ESET, qui a identifié les deux failles, l'une dans Mozilla Firefox, ainsi que le navigateur TorTor et Thunderbird, et la seconde dans Windows. L'attaque semble avoir visé essentiellement l'Europe et les États-Unis, avec la France figurant parmi les pays les plus touchés.

La cyberattaque, qui ne fonctionne qu'en exploitant les deux failles l'une après l'autre, a été menée par un groupe de hackers appelé RomCom (aussi connu sous le nom Storm-0978, Tropical Scorpius, ou UNC2596). Un faux site redirige la victime vers un serveurserveur contenant un script qui exploite la faille CVE-2024-9680 dans le navigateur Firefox. Ceci leur permet d'installer une porte dérobéeporte dérobée, qui va servir à exploiter la seconde faille CVE-2024-49039. Cette dernière se situe au niveau du planificateur de tâches de Windows.

La carte des victimes potentielles. © ESET

Une attaque « zéro clic »

Le code permet d'utiliser une faille dans les droits d'accès du planificateur de tâches pour lancer un processus PowerShell, qui va télécharger un programme malveillant depuis un serveur de commande. Cette technique ne nécessite aucun clic de la part de l'utilisateur, mis à part la visite du faux site initial. Les chercheurs n'ont pas pu identifier par quel moyen le lien était envoyé aux victimes.

Mozilla a rapidement corrigé la faille, avec une mise à jour pour Firefox et le navigateur Tor le 9 octobre, puis pour Thunderbird le 10 octobre. L'éditeur a réussi à publier un correctif seulement 25 heures après avoir été notifié de la faille. MicrosoftMicrosoft a publié une mise à jour pour Windows le 12 novembre. Il est donc vivement conseillé de vous assurer que votre ordinateur est à jour, ainsi que Firefox si vous utilisez ce navigateur.