Une nouvelle vulnérabilité zero-day dans Microsoft Office pourrait potentiellement permettre à des pirates de prendre le contrôle de votre ordinateur. La vulnérabilité peut être exploitée même si vous n’ouvrez pas réellement un fichier infecté.
Bien que nous attendions toujours un correctif officiel, Microsoft a publié une solution de contournement pour cet exploit, donc si vous utilisez fréquemment MS Office, assurez-vous de le vérifier.
Un maldoc intéressant a été soumis par la Biélorussie. Il utilise le lien externe de Word pour charger le code HTML, puis utilise le "ms-msdt" schéma pour exécuter le code PowerShell.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) 27 mai 2022
La vulnérabilité a été surnommée Follina par l’un des chercheurs qui l’a étudiée pour la première fois – Kevin Beaumont, qui a également écrit un long article à ce sujet. Il a été révélé pour la première fois le 27 mai via un tweet de nao_sec, bien que Microsoft en aurait entendu parler pour la première fois dès avril. Bien qu’aucun correctif n’ait été publié pour l’instant, la solution de contournement de Microsoft consiste à désactiver l’outil de diagnostic de support Microsoft (MSDT), qui permet à l’exploit d’entrer dans l’ordinateur attaqué.
Cet exploit affecte principalement les fichiers .rtf, mais d’autres fichiers MS Word peuvent également être affectés. Une fonctionnalité de MS Word appelée Modèles permet au programme de charger et d’exécuter du code à partir de sources externes. Follina s’appuie sur cela pour entrer dans l’ordinateur, puis exécute une série de commandes qui ouvrent MSDT. Dans des circonstances normales, MSDT est un outil sûr que Microsoft utilise pour déboguer divers problèmes pour les utilisateurs de Windows. Malheureusement, dans ce cas, il accorde également un accès à distance à votre ordinateur, ce qui aide l’exploit à en prendre le contrôle.
Dans le cas des fichiers .rtf, l’exploit peut s’exécuter même si vous n’ouvrez pas le fichier. Tant que vous le visualisez dans l’explorateur de fichiers, Follina peut être exécuté. Une fois que l’attaquant prend le contrôle de votre ordinateur via MSDT, c’est à lui de décider ce qu’il veut faire. Ils peuvent télécharger des logiciels malveillants, divulguer des fichiers et faire à peu près tout le reste.
Beaumont a partagé de nombreux exemples de la manière dont Follina a déjà été exploité et trouvé dans divers fichiers. L’exploit est utilisé pour l’extorsion financière, entre autres. Inutile de dire que vous ne voulez pas cela sur votre ordinateur.
Que faites-vous jusqu’à ce que Microsoft publie un correctif ?
Vous pouvez prendre quelques mesures pour rester à l’abri de l’exploit Follina jusqu’à ce que Microsoft lui-même publie un correctif qui résoudra ce problème. Dans l’état actuel des choses, la solution de contournement est la solution officielle, et nous ne savons pas avec certitude que quoi que ce soit d’autre suivra à coup sûr.
Avant toute chose, vérifiez si votre version de Microsoft Office pourrait être potentiellement affectée. Jusqu’à présent, la vulnérabilité a été trouvée dans Office 2013, 2016, 2019, 2021, Office ProPlus et Office 365. Cependant, on ne sait pas si les anciennes versions de Microsoft Office sont sûres, il est donc préférable de prendre des mesures supplémentaires pour vous protéger. .
Si vous pouvez éviter d’utiliser les fichiers .doc, .docx et .rtf pour le moment, ce n’est pas une mauvaise idée. Envisagez de passer à des alternatives basées sur le cloud comme Google Docs. N’acceptez et ne téléchargez que des fichiers provenant de sources 100% éprouvées – ce qui est une bonne ligne directrice à suivre, en général.
Enfin, suivez les conseils de Microsoft sur la désactivation de MSDT. Il vous faudra ouvrir l’invite de commande et l’exécuter en tant qu’administrateur, puis saisir quelques entrées. Si tout se passe comme prévu, vous devriez être à l’abri de Follina. Néanmoins, rappelez-vous de toujours être prudent.
Recommandations des éditeurs