L’État chinois a été observé en train d’exploiter la nouvelle faille zero-day de Microsoft Office pour parvenir à l’exécution de code sur les systèmes affectés.
« TA413 CN APT a été repéré [dans la nature] en train d’exploiter la faille zero-day Follina en utilisant des URL pour livrer des archives ZIP contenant des documents Word qui utilisent la technique« , a déclaré la société de sécurité Proofpoint dans un tweet. « Les campagnes se font passer pour le ‘Women Empowerments Desk’ de l’administration centrale tibétaine et utilisent le domaine tibet-gov.web[.]app.«
TA413 est surtout connu pour ses campagnes visant la diaspora tibétaine pour délivrer des implants tels que Exile RAT et Sepulcher ainsi qu’une extension de navigateur Firefox malveillante surnommée FriarFox.
Cyber-sécurité. La faille de sécurité de haute gravité, appelée Follina et répertoriée sous le nom de CVE-2022-30190 (score CVSS : 7.8), concerne un cas d’exécution de code à distance qui abuse du schéma URI du protocole « ms-msdt : » pour exécuter du code arbitraire.
Plus précisément, l’attaque permet aux acteurs de la menace de contourner les protections de l’affichage protégé pour les fichiers suspects en transformant simplement le document en un fichier RTF (Rich Text Format), ce qui permet d’exécuter le code injecté sans même ouvrir le document via le volet de prévisualisation de l’Explorateur de fichiers de Windows.
Bien que le bogue ait attiré l’attention la semaine dernière, des preuves indiquent que la faille de l’outil de diagnostic a été activement exploitée dans des attaques réelles ciblant des utilisateurs russes il y a plus d’un mois, le 12 avril 2022, lorsqu’elle a été divulguée à Microsoft.
L’entreprise n’a toutefois pas considéré qu’il s’agissait d’un problème de sécurité et a fermé le rapport de soumission de la vulnérabilité, en invoquant le fait que l’utilitaire MSDT nécessitait un mot de passe fourni par un technicien d’assistance avant de pouvoir exécuter des charges utiles.
La vulnérabilité existe dans toutes les versions de Windows actuellement prises en charge et peut être exploitée via les versions Office 2013 à Office 21 et les éditions Office Professional Plus de Microsoft Office.
« Cette attaque élégante est conçue pour contourner les produits de sécurité et passer sous le radar en exploitant la fonction de modèle à distance de Microsoft Office et le protocole ms-msdt pour exécuter du code malveillant, le tout sans avoir besoin de macros« , note Jérôme Segura de Malwarebytes.
Bien qu’aucun correctif officiel ne soit disponible pour l’instant, Microsoft a recommandé de désactiver le protocole URL MSDT pour empêcher le vecteur d’attaque. De plus, il a été conseillé de désactiver le volet de prévisualisation dans l’explorateur de fichiers.
« Ce qui distingue ‘Follina’, c’est que cet exploit ne tire pas parti des macros d’Office et, par conséquent, il fonctionne même dans des environnements où les macros ont été entièrement désactivées« , a déclaré Nikolas Cemerikic d’Immersive Labs.
« Pour que l’exploit prenne effet, il suffit à l’utilisateur d’ouvrir et de visualiser le document Word, ou de visualiser un aperçu du document à l’aide du volet d’aperçu de l’Explorateur Windows. Étant donné que ce dernier ne nécessite pas le lancement complet de Word, cela devient effectivement une attaque sans clic. »