Les cybercriminels ont trouvé une nouvelle faille dans les documents Microsoft Word (ouvre dans un nouvel onglet) qui leur permet de distribuer des logiciels malveillants (ouvre dans un nouvel onglet), selon les chercheurs.
Découvert par l'expert en cybersécurité Kevin Beaumont et surnommé "Follina", le trou exploite un utilitaire Windows appelé msdt.exe, conçu pour exécuter différents packages de dépannage sous Windows.
Selon le rapport, lorsque la victime télécharge le fichier Word armé, elle n'a même pas besoin de l'exécuter, il suffit de le prévisualiser dans l'Explorateur Windows pour que l'outil soit abusé (cependant, il doit s'agir d'un fichier RTF).
En abusant de cet utilitaire, les attaquants peuvent indiquer au point de terminaison cible d'appeler un fichier HTML à partir d'une URL distante. Les attaquants ont choisi les formats xmlcom, essayant probablement de se cacher derrière le domaine openxmlformats.org d'apparence similaire mais légitime qui est utilisé dans la plupart des documents Word, suggèrent les chercheurs.
reconnaître la menace
Le fichier HTML contient beaucoup de "junk", ce qui masque son véritable objectif : un script qui télécharge et exécute une charge utile.
Le rapport ne dit presque rien sur la charge utile réelle, ce qui rend difficile la détermination de la fin de partie de l'acteur menaçant. Il dit que la chaîne complète des événements liés aux échantillons qui ont été rendus publics n'est pas encore connue.
Suite à la publication des résultats, Microsoft a reconnu la menace, affirmant qu'une vulnérabilité d'exécution de code à distance existe "lorsque MSDT est invoqué à l'aide du protocole URL à partir d'une application appelante telle que Word".
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges de l'application appelante. L'attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes dans le cadre autorisé par les droits de l'utilisateur.
Alors que certains programmes antivirus (ouvre un nouvel onglet), tels que Sophos, peuvent déjà détecter cette attaque, Microsoft a également publié une méthode d'atténuation, qui inclut la désactivation du protocole d'URL MSDT.
Bien que cela empêchera les dépanneurs de se lancer en tant que liens, ils sont toujours accessibles via l'application Obtenir de l'aide et dans les paramètres système. Pour activer cette solution de contournement, les administrateurs doivent procéder comme suit :
Exécutez l'invite de commande en tant qu'administrateur.
Pour sauvegarder la clé de registre, exécutez la commande "reg export HKEY_CLASSES_ROOTms-msdt filename"
Exécutez la commande "reg delete HKEY_CLASSES_ROOTms-msdt /f".