Microsoft vient de publier sa mise à jour cumulative de juin 2022 pour Windows, y compris un correctif pour la redoutable vulnérabilité Follina.
« Microsoft recommande vivement aux clients d’installer les mises à jour pour être entièrement protégés contre la vulnérabilité. Les clients dont les systèmes sont configurés pour recevoir des mises à jour automatiques n’ont pas besoin de prendre d’autres mesures », a déclaré Microsoft dans son avis.
Découverte par l’expert en cybersécurité Kevin Beaumont et surnommée « Follina », la faille exploite un utilitaire Windows appelé msdt.exe, conçu pour exécuter différents packs de dépannage sous Windows. Le chercheur a découvert que lorsque la victime télécharge un fichier Word armé, elle n’a même pas besoin de l’exécuter, le prévisualiser dans l’Explorateur Windows suffit pour que l’outil soit abusé (il doit s’agir d’un fichier RTF, cependant).
Follina maltraitée à l’état sauvage
En abusant de cet utilitaire, les attaquants sont capables de dire au point final cible (s’ouvre dans un nouvel onglet) pour appeler un fichier HTML, depuis une URL distante. Les attaquants ont choisi les formats xml[.]com, essayant probablement de se cacher derrière le domaine openxmlformats.org d’apparence similaire, quoique légitime, utilisé dans la plupart des documents Word.
Le fichier HTML contient beaucoup de « déchets », ce qui masque son véritable objectif – un script qui télécharge et exécute une charge utile.
Le correctif de Microsoft n’empêche pas Office de charger automatiquement et sans interaction de l’utilisateur les gestionnaires d’URI du protocole Windows, mais il bloque l’injection de PowerShell, rendant ainsi l’attaque inutile.
Dès qu’il a été découvert, les chercheurs ont commencé à repérer le défaut abusé dans la nature. Parmi ses premiers utilisateurs, il y aurait eu des acteurs de la menace parrainés par l’État chinois, qui ont lancé des cyberattaques (s’ouvre dans un nouvel onglet) contre la communauté tibétaine internationale.
« TA413 CN APT a repéré ITW exploitant le Follina 0Day en utilisant des URL pour fournir des archives Zip contenant des documents Word utilisant la technique », ont déclaré il y a deux semaines des chercheurs en cybersécurité de Proofpoint. La même société a également constaté que Follina était abusé par un autre acteur de la menace, TA570, pour distribuer Qbot, tandis que NCC Group a constaté qu’il était encore abusé par Black Basta, qui est un groupe de ransomware connu.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)