Un nouveau vulnérabilité zero-day a été découvert dans Microsoft Office qui peut être exploité par des cybercriminels pour distribuer malware et d’autres virus sur les PC Windows.
Le bogue a été découvert par l’expert en cybersécurité Kevin Beaumont et a depuis reçu le nom de « Follina ». Il est maintenant suivi comme CVE-2022-30190 (s’ouvre dans un nouvel onglet) et Microsoft le décrit comme une vulnérabilité d’exécution de code à distance Microsoft Windows Support Diagnostic Tool (MSDT) selon BipOrdinateur (s’ouvre dans un nouvel onglet).
Follina est particulièrement préoccupante, car cette vulnérabilité zero-day affecte toutes les versions de Windows qui reçoivent encore des mises à jour de sécurité. Dans un récent article de blog (s’ouvre dans un nouvel onglet)le Microsoft Security Response Center a fourni plus de détails sur le bogue et comment il peut être utilisé pour attaquer des systèmes exécutant Windows 7 jusqu’à Windows 11, en disant :
« Une vulnérabilité d’exécution de code à distance existe lorsque MSDT est appelé à l’aide du protocole URL à partir d’une application appelante telle que Word. Un attaquant qui parviendrait à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges de l’application appelante. L’attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes dans le cadre autorisé par les droits de l’utilisateur.
Exploitation de Follina à l’aide de documents Word militarisés
Comme pour tout nouveau zero-day, Follina est déjà exploité dans la nature et les chercheurs en sécurité de Proofpoint ont découvert que l’acteur de menace parrainé par l’État chinois TA413 a utilisé la vulnérabilité pour cibler la communauté tibétaine internationale.
Dans un tweeter (s’ouvre dans un nouvel onglet), les chercheurs de la société ont expliqué que TA413 utilise des URL malveillantes pour fournir des fichiers ZIP contenant des documents Word militarisés qui exploitent Follina. À la fois, MalwareHunterÉquipe (s’ouvre dans un nouvel onglet) a également trouvé des fichiers Word avec des noms de fichiers chinois qui sont actuellement utilisés pour installer des infostealers.
Il convient de noter que des attaques exploitant Follina ont été repérées il y a plus d’un mois lorsque des menaces de sextorsion et des invitations à faire une interview avec la radio Sputnik ont toutes deux été utilisées comme leurres selon BleepingComputer.
Microsoft a une solution de contournement, mais il existe également un correctif non officiel
Dans l’état actuel des choses, Microsoft n’a pas encore publié de mises à jour de sécurité pour résoudre la vulnérabilité Follina zero-day. Cependant, le géant du logiciel a mis au point un solution de contournement (s’ouvre dans un nouvel onglet) pour aider à protéger les PC Windows en attendant.
La solution de contournement consiste à désactiver le protocole d’URL MSDT sur les appareils Windows – vous devez d’abord exécuter Invite de commandes comme Administrateur pour démarrer le processus. De là, vous devez utiliser la commande reg exporter HKEY_CLASSES_ROOTms-msdt ms-msdt.reg pour sauvegarder la clé de registre de votre système avant d’exécuter la commande reg supprimer HKEY_CLASSES_ROOTms-msdt /f.
Si vous décidez d’emprunter cette voie, vous devrez annuler la solution de contournement en lançant une invite de commande élevée et en exécutant la commande reg importer ms-msdt.reg une fois que Microsoft publie un correctif officiel.
En parlant de correctifs, opatch a également créé des microcorrectifs gratuits et non officiels pour Windows 11, Windows 10, Windows 7 et Windows Server 2008. Bien que nous ne recommandions pas d’installer des correctifs non officiels, ceux qui sont prêts à prendre le risque devront d’abord s’inscrire pour un compte opatch (s’ouvre dans un nouvel onglet) avant d’installer l’agent opatch. Une fois lancé, l’agent téléchargera et appliquera automatiquement le correctif sur votre PC Windows.
Maintenant que les cybercriminels et même les pirates informatiques parrainés par l’État exploitent activement Follina dans leurs attaques, Microsoft publiera probablement bientôt un correctif officiel. En attendant, la solution de contournement de l’entreprise devrait suffire à la plupart des gens pour protéger leur PC.