La vulnérabilité zero-day de Microsoft Office "Follina" pourrait avoir ses premiers utilisateurs officiels et ses premières victimes, ont révélé des experts.
Les chercheurs en cybersécurité de Proofpoint ont découvert qu'un acteur menaçant parrainé par l'État chinois connu sous le nom de TA413 ciblait la communauté tibétaine internationale en utilisant la faille.
"TA413 CN APT a découvert ITW exploitant Follina 0Day en utilisant des URL pour fournir des fichiers Zip contenant des documents Word en utilisant la technique", a noté Proofpoint.
Installer des voleurs d'informations
"Les campagnes se présentent comme le" Bureau pour l'autonomisation des femmes "du gouvernement central tibétain et utilisent le domaine tibet-gov.webrequest."
Découvert début mai 2022, Follina exécute un utilitaire Windows appelé msdt.exe, conçu pour exécuter différents packages de dépannage sous Windows. Pour l'exécuter, les attaquants enverraient un fichier .docx militarisé, capable d'avoir du code d'exécution MSDT même en mode aperçu.
En abusant de cet utilitaire, les attaquants peuvent indiquer au point de terminaison cible (ouvre un nouvel onglet) d'appeler un fichier HTML, à partir d'une URL distante. Les attaquants ont choisi les formats xmlcom, essayant probablement de se cacher derrière le domaine openxmlformats.org d'apparence similaire mais légitime qui est utilisé dans la plupart des documents Word, suggèrent les chercheurs.
MalwareHunterTeam a également trouvé des fichiers .docx avec des noms de fichiers chinois qui sont installés par des voleurs d'informations via http://coolratX et Z. Le fichier HTML contient beaucoup de « junk », ce qui masque son véritable objectif : un script qui télécharge et exécute une charge utile. . La faille, identifiée comme CVE-2022-30190, affecte toutes les plates-formes client et serveur Windows qui reçoivent encore des mises à jour de sécurité.
Suite à la publication des résultats, Microsoft a reconnu la menace, affirmant qu'une vulnérabilité d'exécution de code à distance existe "lorsque MSDT est invoqué à l'aide du protocole URL à partir d'une application appelante telle que Word".
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges de l'application appelante. L'attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes dans le cadre autorisé par les droits de l'utilisateur.
Alors que certains logiciels antivirus peuvent déjà détecter cette attaque, Microsoft a également publié une méthode d'atténuation, qui comprend la désactivation du protocole d'URL MSDT. Cela empêchera les dépanneurs de se lancer sous forme de liens, mais ils seront toujours accessibles via l'application Obtenir de l'aide et dans les paramètres système. Pour activer cette solution de contournement, les administrateurs doivent procéder comme suit :
Exécutez l'invite de commande en tant qu'administrateur.
Pour sauvegarder la clé de registre, exécutez la commande "reg export HKEY_CLASSES_ROOTms-msdt filename"
Exécutez la commande "reg delete HKEY_CLASSES_ROOTms-msdt /f".
Via : BleepingComputer (Ouvre dans un nouvel onglet)