Crédit : Dreamstime
Les attaquants utilisent activement une exécution de code à distance non corrigée (RCE ) vulnérabilité dans une partie de Windows appelée Microsoft Assistance Diagnostic Tool (MSDT) via des documents Word militarisés.
Microsoft a réagi avec des recommandations d’atténuation qui peuvent être utilisées pour bloquer les attaques jusqu’à ce qu’un correctif à long terme soit lancé.
Une utilisation de la vulnérabilité, désormais identifiée comme CVE-2022-30190, a été trouvée dans la nature par un groupe de recherche indépendant sur la sécurité appelé nao_sec, qui a trouvé un document Word malveillant publié sur VirusTotal à partir d’un IP en Biélorussie. Des échantillons plus destructeurs datant d’avril ont également été trouvés, suggérant que la vulnérabilité est exploitée depuis plus d’un mois.
Un exploit de Word, mais pas un défaut de Word
Étant donné que l’utilisation originale se trouve sous la forme d’un document Word, il y a eu des rumeurs initiales selon lesquelles la vulnérabilité résidait dans Word ou la plus grande suite Office.
Néanmoins, le scientifique en sécurité Kevin Beaumont, qui a surnommé la faille Follina avant qu’elle n’ait un identifiant CVE, a analysé l’utilisation et a conclu qu’elle exploitait la fonctionnalité de modèle distant Word pour récupérer un fichier HTML à partir d’une télécommande. serveur et a ensuite utilisé le plan d’URL ms-msdt pour charger du code malveillant et un script PowerShell.
» Il se passe beaucoup de choses ici, mais le premier problème est que Microsoft Word exécute le code au moyen de msdt ( un outil de support) même si les macros sont désactivées », a déclaré Beaumont dans un article de blog. » Le mode protégé entre en jeu, bien que si vous changez le fichier en type RTF, il s’exécute sans même ouvrir le document (au moyen de l’onglet d’aperçu dans l’explorateur) sans parler du mode sécurisé. «
Beaumont l’a fait certains dépistages initiaux et l’exploit ont semblé échouer sur les versions Insider et Current d’Office, mais ont fonctionné sur d’autres. Néanmoins, d’autres chercheurs ont ensuite vérifié l’utilisation de la validation sur des versions entièrement récentes de Workplace 2013, 2016, 2019, 2021, Workplace ProPlus et Workplace 365.
Le problème est bien plus important puisque la vulnérabilité se situe dans MSDT, qui peut être appelé à partir de différentes applications, y compris Office, mais pas seulement au moyen du plan de protocole d’URL MSDT ms-msdt. En fait, selon Beaumont, cela fonctionne également directement dans Windows via les fichiers LNK et dans Outlook.
Microsoft réagit avec des suggestions d’atténuation de Follina
Dans un article de blog, le Centre d’action de sécurité de Microsoft a expliqué que si l’utilisation est fournie via une application Microsoft Workplace, par défaut, le mode Vue protégée ou Application Guard for Workplace s’activerait pour les documents ouverts à partir d’Internet et devrait empêcher l’attaque. /p>
Beaumont a déclaré qu’il s’agit « d’étendre le fait » car l’utilisation de s’active également via l’onglet aperçu de l’Explorateur Windows où la vue protégée n’est pas utilisée. Will Dormann, un expert en vulnérabilité au CERT/CC, a partagé exactement le même point de vue qualifiant le langage de la foire aux questions de Microsoft de « un peu trompeur ».
Comme solution de contournement plus basique, Microsoft propose de désactiver l’intégralité du protocole d’URL MSDT. sur le système en suivant ces étapes :
- Exécutez l’invite de commande en tant qu’administrateur.
- Sauvegardez le secret du registre du système informatique en exécutant la commande « reg export HKEY_CLASSES_ROOTms-msdt filename » .
- Effectuez la commande « reg erase HKEY_CLASSES_ROOTms-msdt/ f ».
Cela empêche les autres applications d’appeler automatiquement le dépanneur MSDT, néanmoins, il peut toujours être utilisé via l’application Get Assist et dans le panneau des paramètres système.
Les détections pour l’exportation ont été apportées à Microsoft Defender Anti-virus et Microsoft Defender pour Endpoint, où la « BlockOfficeCreateProcessRule » empêche les applications Office de créer des procédures enfant en général, car il s’agit d’un logiciel malveillant typique comportement.
D’autres sociétés de sécurité et scientifiques ont en fait publié des directives de détection pour les outils de chasse aux dangers et de détection d’intrusion et davantage de fournisseurs de sécurité des terminaux ajouteront probablement leurs propres signatures de détection.
Attaques antérieures de Follina
Beaumont a pu découvrir des fichiers supplémentaires qui exploitaient la vulnérabilité et ont été diffusés en avril, certains avec des thèmes russes. Des scientifiques de Proofpoint ont rapporté qu’un APT chinois suivi sous le nom de TA413 a en fait également tenté d’utiliser la vulnérabilité en utilisant des ZIP avec des documents destructeurs qui se font passer pour le Women’s Empowerment Desk, une société de l’Administration centrale tibétaine.
L’approche d’utiliser l’URL de la procédure MSDT pour exécuter du code a apparemment été documentée dans une thèse de licence par Benjamin Altpeter, stagiaire de CompSci à TU Braunschweig en Allemagne, dès août 2020. Un membre d’un groupe de chasse APT appelé Shadow Chaser Group déclare avoir signalé la vulnérabilité à Microsoft en avril, mais qu’elle n’a pas été classée comme un problème de sécurité et que le ticket a été fermé.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
