Microsoft patch enfin la 0-Day Follina de manière définitive

Dans le cadre de ses mises à jour du Patch Tuesday, Microsoft a officiellement publié des correctifs pour remédier à une vulnérabilité de type "zero-day" de Windows activement exploitée, connue sous le nom de Follina. Le géant technologique a également corrigé 55 autres failles, dont trois sont jugées critiques, 51 sont jugées importantes et une est jugée modérée. Séparément, cinq autres failles ont été résolues dans le navigateur Microsoft Edge. Répertorié sous le nom de CVE-2022-30190 (score CVSS : 7,8), ce bogue de type "zero-day" concerne une vulnérabilité d'exécution de code à distance affectant l'outil de diagnostic de support Windows (MSDT) lorsqu'il est invoqué à l'aide du schéma de protocole URI "ms-msdt :" depuis une application telle que Word. La vulnérabilité peut être exploitée de manière triviale au moyen d'un document Word spécialement conçu qui télécharge et charge un fichier HTML malveillant via la fonction de modèle à distance de Word. Le fichier HTML permet finalement à l'attaquant de charger et d'exécuter du code PowerShell dans Windows.

"Un attaquant qui réussit à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges de l'application appelante", indique Microsoft dans un ticket. "L'attaquant peut alors installer des programmes, visualiser, modifier ou supprimer des données, ou créer de nouveaux comptes dans le contexte autorisé par les droits de l'utilisateur."

Un aspect crucial de Follina est que l'exploitation de la faille ne nécessite pas l'utilisation de macros, ce qui évite à l'adversaire d'avoir à inciter les victimes à activer des macros pour déclencher l'attaque. Depuis que les détails de ce problème ont fait surface à la fin du mois dernier, il a été largement exploité par différents acteurs de la menace pour déposer une variété de charges utiles telles que AsyncRAT, QBot et d'autres voleurs d'informations. Les preuves indiquent que Follina a été exploité dans la nature depuis au moins le 12 avril 2022. Outre CVE-2022-30190, la mise à jour de sécurité cumulative résout également plusieurs failles d'exécution de code à distance dans Windows Network File System (CVE-2022-30136), Windows Hyper-V (CVE-2022-30163), Windows Lightweight Directory Access Protocol, Microsoft Office, HEVC Video Extensions et Azure RTOS GUIX Studio. Une autre faille de sécurité à noter est CVE-2022-30147 (score CVSS : 7,8), une vulnérabilité d'élévation de privilège affectant Windows Installer et qui a été marquée d'une évaluation "Exploitation plus probable" par Microsoft.

"Une fois qu'un attaquant a obtenu un accès initial, il peut élever ce niveau d'accès initial jusqu'à celui d'un administrateur, où il peut désactiver les outils de sécurité", a déclaré Kev Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs, dans un communiqué. "Dans le cas d'une attaque par ransomware, cela permet de tirer parti de l'accès à des données plus sensibles avant de crypter les fichiers."

La dernière série de correctifs se distingue également par l'absence de mise à jour du composant Print Spooler, pour la première fois depuis janvier 2022. Ils arrivent également alors que Microsoft a déclaré qu'elle mettait officiellement fin à la prise en charge d'Internet Explorer 11 à partir du 15 juin 2022, sur les chaînes semi-annuelles de Windows 10 et les chaînes semi-annuelles de Windows 10 IoT.