Les chercheurs ont averti en dernier week-end qu’une faille dans l’outil de diagnostic de support de Microsoft pourrait être exploitée à l’aide de documents Word malveillants pour prendre le contrôle à distance des appareils cibles. Microsoft a publié lundi des directives, y compris des mesures de défense temporaires. Mardi, la Cybersecurity and Infrastructure Security Agency des États-Unis avait averti qu ‘«un attaquant distant non authentifié pourrait exploiter cette vulnérabilité», connue sous le nom de Follina, «pour prendre le contrôle d’un système affecté». Mais Microsoft ne dirait pas quand ni si un correctif est à venir pour la vulnérabilité, même si la société a reconnu que la faille était activement exploitée par des attaquants dans la nature. Et la société n’avait toujours aucun commentaire sur la possibilité d’un correctif lorsque WIRED lui a demandé hier.
La vulnérabilité Follina dans un outil de support Windows peut être facilement exploitée par un document Word spécialement conçu. Le leurre est équipé d’un modèle distant qui peut récupérer un fichier HTML malveillant et permettre finalement à un attaquant d’exécuter des commandes Powershell dans Windows. Les chercheurs notent qu’ils décriraient le bogue comme une vulnérabilité “zero-day” ou inconnue auparavant, mais Microsoft ne l’a pas classé comme tel.
“Une fois que le public a pris connaissance de l’exploit, nous avons commencé à voir une réponse immédiate de la part de divers attaquants commençant à l’utiliser”, déclare Tom Hegel, chercheur principal sur les menaces à la société de sécurité SentinelOne. Il ajoute que si les attaquants ont principalement été observés en train d’exploiter la faille via des documents malveillants jusqu’à présent, les chercheurs ont également découvert d’autres méthodes, notamment la manipulation du contenu HTML dans le trafic réseau.
“Bien que l’approche des documents malveillants soit très préoccupante, les méthodes moins documentées par lesquelles l’exploit peut être déclenché sont troublantes jusqu’à ce qu’elles soient corrigées”, déclare Hegel. “Je m’attendrais à ce que les acteurs de la menace opportunistes et ciblés utilisent cette vulnérabilité de diverses manières lorsque l’option est disponible – c’est tout simplement trop facile.”
La vulnérabilité est présente dans toutes les versions prises en charge de Windows et peut être exploitée via Microsoft Office 365, Office 2013 à 2019, Office 2021 et Office ProPlus. La principale atténuation proposée par Microsoft consiste à désactiver un protocole spécifique dans l’outil de diagnostic de support et à utiliser l’antivirus Microsoft Defender pour surveiller et bloquer l’exploitation.
Mais les intervenants en cas d’incident disent que plus d’action est nécessaire, étant donné la facilité d’exploitation de la vulnérabilité et la quantité d’activités malveillantes détectées.
“Nous voyons une variété d’acteurs APT intégrer cette technique dans des chaînes d’infection plus longues qui utilisent la vulnérabilité Follina”, déclare Michael Raggi, chercheur sur les menaces au sein de la société de sécurité Proofpoint, qui se concentre sur les pirates informatiques soutenus par le gouvernement chinois. “Par exemple, sur Le 30 mai 2022, nous avons observé l’acteur chinois APT TA413 envoyer une URL malveillante dans un e-mail se faisant passer pour l’Administration centrale tibétaine. Différents acteurs s’inscrivent dans les fichiers liés à Follina à différentes étapes de leur chaîne d’infection, en fonction de leur boîte à outils préexistante et des tactiques déployées.
Les chercheurs ont également vu des documents malveillants exploitant Follina avec des cibles en Russie, en Inde, aux Philippines, en Biélorussie et au Népal. Un chercheur de premier cycle a remarqué la faille pour la première fois en août 2020, mais elle a été signalée pour la première fois à Microsoft le 21 avril. Les chercheurs ont également noté que les hacks de Follina sont particulièrement utiles aux attaquants car ils peuvent provenir de documents malveillants sans s’appuyer sur les macros, l’Office très abusé. fonctionnalité de document que Microsoft s’est efforcé de maîtriser.
« Proofpoint a identifié une variété d’acteurs incorporant la vulnérabilité Follina dans les campagnes de phishing », déclare Sherrod DeGrippo, vice-président de la recherche sur les menaces chez Proofpoint.
Avec toute cette exploitation dans le monde réel, la question est de savoir si les conseils publiés par Microsoft jusqu’à présent sont adéquats et proportionnés au risque.
“Les équipes de sécurité pourraient considérer l’approche nonchalante de Microsoft comme un signe qu’il ne s’agit que d’une “vulnérabilité de plus”, ce qu’elle n’est certainement pas”, déclare Jake Williams, directeur du renseignement sur les cybermenaces de la société de sécurité Scythe. “On ne sait pas pourquoi Microsoft continue de minimiser cette vulnérabilité, en particulier alors qu’elle est activement exploitée dans la nature.”