Posté le juin 4, 2022 à 7:54
DES HACKERS CHINOIS COMMENCENT À EXPLOITER LA DERNIÈRE VULNÉRABILITÉ ZERO-DAY DE MICROSOFT OFFICE
La vulnérabilité zero-day de Microsoft Office signalée cette semaine a déjà été utilisée dans le cadre d’attaques actives par des acteurs de menaces parrainés par la Chine.
Le groupe de menaces APT Chinois connu sous le nom de TA413 a été vu en train de se faire passer pour le bureau de l’autonomisation des femmes de l’administration centrale tibétaine. Cette association s’occupe de questions telles que la violence à l’égard des femmes et les problèmes d’égalité des sexes. Selon les rapports des chercheurs en cybersécurité de Proofpoint, la nouvelle vulnérabilité zero-day exécute du code sur des applications entièrement corrigées.
Les chercheurs ont révélé que les fichiers malveillants sont placés dans une archive zip utilisant des URL qui usurpent l’identité du véritable gouvernement Tibétain. Mais ils n’ont pas précisé quel type de charge utile est délivré.
La vulnérabilité est identifiée sous le nom de CVE-2022-30190
Ladite vulnérabilité exploitant l’identifiant de ressources uniformes (URI) MS-MSDT est désormais répertoriée sous le nom de CVE-2022-30190. Les chercheurs ont noté que le bug est connu pour fonctionner sur toutes les versions de Microsoft Office. Même Office 365, dont on pensait initialement qu’il n’était pas affecté, était également vulnérable.
L’exploitation réussie de l’outil de dépannage et de diagnostic peut entraîner l’exécution de code malveillant sur les systèmes Windows, révèle le rapport.
La faille a été baptisée Follina et a été qualifiée de haute gravité, avec un score CVSS de 7,8. Plus précisément, la vulnérabilité permet aux hackers d’échapper aux mesures de protection de l’Affichage Protégé pour les fichiers suspects en transformant le document en un fichier RTF (Rich Text Format). Cela permet d’exécuter le code injecté sans ouvrir le document via le volet de prévisualisation de l’explorateur de fichiers de Windows.
Bien que la vulnérabilité ait suscité une grande attention la semaine dernière, il existe des preuves que son exploitation active a commencé beaucoup plus tôt. Elle a été découverte dans la nature, ciblant des utilisateurs Russes, il y a plus d’un mois, lorsque Microsoft a eu connaissance du bug.
Lorsque le géant technologique a été informé de la vulnérabilité, il ne l’a pas considérée comme un problème de haute sécurité à l’époque. Microsoft a fermé le rapport de soumission, déclarant qu’il sera difficile pour les hackers d’exécuter des charges utiles car l’utilitaire MSDT nécessite une clé de passe fournie par un technicien de support.
Comment les utilisateurs peuvent-ils se protéger de l’attaque ?
L’attaque vise à contourner les logiciels de sécurité et à passer sous le radar tout en tirant parti de la fonction de modèle à distance de Microsoft Office. De plus, le bug permet au protocole MS-MSDT d’exécuter du code malveillant sans avoir besoin de macros.
Bien qu’aucun correctif officiel ne soit disponible pour le moment, Microsoft a déclaré que les utilisateurs pouvaient désactiver le protocole URL MSDT pour bloquer le vecteur d’attaque. Le géant technologique a également recommandé aux utilisateurs de désactiver le volet de prévisualisation dans l’Explorateur de fichiers.
Outre l’attribution du code CVE zero-day, Microsoft a également publié un rapport qui prend en charge le document pour les utilisateurs de Windows et de Microsoft Office. Microsoft a également indiqué aux utilisateurs comment désactiver rapidement MDST.
Microsoft a voulu refaire le triage du rapport
Nikolas Cemerikic, chercheur en sécurité chez Immersive Labs, a déclaré que « Follina » est différent des autres exploits car il ne tire pas parti des macros d’Office. Par conséquent, il peut fonctionner dans des environnements où les macros ont été complètement désactivées.
Pour que l’exploit ait lieu, il suffit que l’utilisateur ouvre et visualise le document Word ou qu’il utilise le volet de prévisualisation de l’Explorateur Windows pour afficher un aperçu du document. Cela en fait une attaque zéro-clic puisque cette dernière n’a pas besoin que Word se lance complètement.
Les hackers peuvent également exécuter le code lorsque le document malveillant est enregistré au format RTF (Rich Text Format). Un chercheur connu sous le nom de crazyman, qui fait partie d’un groupe de chasseurs de bugs connu sous le nom de Shadow Chaser, a initialement découvert la faille lorsque Microsoft lui a attribué un CVE.
Crazyman a également mis en ligne la preuve de son rapport à Microsoft, admettant que l’exploit initial a eu lieu il y a plus d’un mois, lorsqu’il a été utilisé pour cibler des utilisateurs Russes.
Le rapport sur la vulnérabilité n’a suscité l’intérêt que la semaine dernière après que Kevin Beaumont, un ancien professionnel de la sécurité employé par Microsoft, a commenté le feedback de Microsoft. Selon lui, la réponse de Microsoft au rapport donnait l’impression que l’entreprise ne voulait pas rejeter le rapport, mais qu’elle souhaitait le retrier.
Par ailleurs, un chercheur en sécurité de Malwarebytes a déclaré qu’un échantillon de maldoc en langue Russe avait été vu dans la nature, mais que son modèle était en panne à ce moment-là. Par conséquent, il n’a pas été possible d’identifier l’échantillon. Microsoft a conseillé aux utilisateurs de suivre les solutions de contournement fournies sur son site Web.
