Une vulnrabilit de type « zero-day » permettant d’excuter du code distance sous Windows serait activement exploite depuis 7 semaines, Selon des chercheurs en cyberscurit

Un groupe de ransomware menace de renverser le gouvernement du Costa Rica, et rclame une ranon de 20 millions de dollars contre une cl de dchiffrement



Des chercheurs en scurit ont dcouvert une nouvelle vulnrabilit « zero-day » de Microsoft Office qui permet aux cybercriminels d’excuter distance des commandes PowerShell malveillantes via Microsoft Diagnostic Tool (MSDT) simplement en ouvrant un document Word. Elle offre ainsi aux attaquants un moyen fiable d’installer des logiciels malveillants sans dclencher Windows Defender et une srie d’autres produits de protection des points d’accs. Les chercheurs ont indiqu que la vulnrabilit, baptise « Follina », affecte toutes les versions prises en charge de Windows et est activement exploite depuis sept semaines.

Selon les chercheurs en cyberscurit de Shadow Chaser Group, la vulnrabilit de Microsoft Diagnostic Tool (MSDT) aurait t signale pour la premire fois Microsoft le 12 avril 2022 comme tant une vulnrabilit « zero-day » dj exploite dans la nature. Une rponse date du 21 avril a toutefois inform les chercheurs que l’quipe du Microsoft Security Response Center (MSRC) ne considrait pas le comportement signal comme une vulnrabilit de scurit, car, soi-disant, MSDT ncessitait un mot de passe avant d’excuter des charges utiles. Mais lundi, Microsoft a rtropdal en identifiant la vulnrabilit avec le traqueur CVE-2022-30190.

L’entreprise a galement averti que le comportement signal constituait une vulnrabilit critique. Une vulnrabilit d’excution de code distance existe lorsque MSDT est appele en utilisant le protocole URL partir d’une application appelante telle que Word. Un attaquant qui russit exploiter cette vulnrabilit peut excuter du code arbitraire avec les privilges de l’application appelante. L’attaquant peut alors installer des programmes, visualiser, modifier ou supprimer des donnes, ou crer de nouveaux comptes dans le contexte autoris par les droits de l’utilisateur , a dclar l’quipe MSRC dans un billet de blogue sur son site Web.

En effet, la vulnrabilit a de nouveau t repre lorsqu’un chercheur en cyberscurit du groupe « Nao_sec » a identifi un document Word tlcharg sur le service en ligne VirusTotal qui exploitait le vecteur d’attaque prcdemment inconnu. Baptise « Follina », cette nouvelle vulnrabilit zero-day ouvre la porte un nouveau vecteur d’attaque critique exploitant les programmes Microsoft Office, car il fonctionne sans privilges levs, contourne la dtection de Windows Defender et ne ncessite pas l’activation du code macro pour excuter des binaires ou des scripts. Nao_sec a indiqu sur Twitter qu’elle pouvait engendrer de gros dgts.

Je recherchais sur VirusTotal des fichiers qui exploitaient CVE-2021-40444. Puis j’ai trouv un fichier qui abuse du schma « ms-msdt ». Il utilise le lien externe de Word pour charger le HTML et utilise ensuite le schma « ms-msdt » pour excuter du code PowerShell , a dclar le chercheur dans un tweet. Le chercheur en scurit Kevin Beaumont a dsobfusqu (action de convertir un programme difficile comprendre en un programme simple, comprhensible et direct) le code et a expliqu dans un billet de blogue qu’il s’agit d’une chane de ligne de commande que Microsoft Word excute l’aide de MSDT, mme si les scripts macro sont dsactivs.

Selon Beaumont, la vulnrabilit permet un document Microsoft Word d’excuter du code via MSDT mme si les macros sont dsactives. Le fournisseur de dtection des menaces gres Huntress Labs a qualifi la vulnrabilit de « nouvelle technique d’accs initial » qui peut tre excute en un clic ou moins. Il s’agit d’une attaque intressante pour les cybercriminels, car elle est dissimule dans un document Microsoft Word, sans macros pour dclencher les signaux d’avertissement familiers aux utilisateurs, mais avec la possibilit d’excuter du code hberg distance , a crit John Hammond, chercheur principal en scurit chez Huntress.

L’quipe MSRC a confirm lundi l’existence de la vulnrabilit MSDT, bien que le gant du logiciel n’ait pas dcrit la faille d’excution de code distance comme tant de type « zero-day » ni confirm une activit d’exploitation dans la nature. Cependant, l’avis de scurit de Microsoft pour CVE-2022-30190 indique que l’exploitation a t dtecte. Plusieurs chercheurs en scurit ont analys le document malveillant partag par Nao_sec et ont russi reproduire l’exploit avec plusieurs versions de Microsoft Office. Ils ont confirm que la vulnrabilit existe dans Office 2013 et 2016, Office Pro Plus partir d’avril et une version corrige d’Office 2021.

Le billet de blogue de l’quipe MSRC ne propose pas un correctif, mais des solutions de contournement pour empcher l’exploitation, notamment la dsactivation du protocole URL MSDT. Microsoft a galement dclar que l’outil « Application Guard for Office » empchera les attaques sur CVE-2022-30190, tout comme l’ouverture d’un document malveillant en « Protected View ». Microsoft demande de procder comme suit pour dsactiver le protocole URL MSDT :

  • excutez l’invite de commande en tant qu’administrateur ;
  • excutez la commande reg export HKEY_CLASSES_ROOT\ms-msdt filename pour sauvegarder la cl de registre ;
  • excutez la commande reg delete HKEY_CLASSES_ROOT\ms-msdt /f.

Les chercheurs indiquent qu’en fonction de la charge utile, un acteur de la menace pourrait utiliser cet exploit pour atteindre des emplacements distants sur le rseau de la victime. Cela permettrait un attaquant de collecter des hachages de mots de passe de machines Windows de la victime, qui sont utiles pour d’autres activits post-exploitation. La dtection de cette mthode d’attaque « pourrait probablement tre difficile », car le code malveillant est charg partir d’un modle distant. Le document Word porteur ne sera donc pas signal comme une menace puisqu’il ne contient pas de code malveillant, mais seulement une rfrence celui-ci.

Pour dtecter une attaque via ce vecteur, Huntress indique qu’il faut surveiller les processus du systme, car la charge utile Follina cre un processus enfant ‘msdt.exe’ sous le parent Microsoft Office en cause. En sus, Huntress ajoute que le processus « sdiagnhost.exe » sera cr avec un processus enfant « conhost.exe » et ses processus de charge utile ultrieurs. Pour les organisations qui utilisent les rgles de rduction de la surface d’attaque (ASR) de Microsoft Defender, Huntress conseille d’activer l’option « Block all Office applications from creating child processes » en mode Block, ce qui empcherait les exploits de Follina.

Il est recommand d’excuter d’abord la rgle en mode Audit et de surveiller les rsultats avant d’utiliser ASR, afin de s’assurer que les utilisateurs finaux ne subissent pas d’effets indsirables. Une autre mesure d’attnuation consisterait supprimer l’association de type de fichier pour « ms-msdt » afin que Microsoft Office ne puisse pas invoquer l’outil lors de l’ouverture d’un document Follina malveillant.

Sources : L’quipe MSRC de Microsoft (1, 2), Huntress Labs, Kevin Beaumont

Et vous ?

Quel est votre avis sur le sujet ?

Que pensez-vous de la vulnrabilit zero-day Follina ?

Voir aussi

Linux est victime de la vulnrabilit la plus grave depuis des annes, Dirty Pipe permet un attaquant d’installer des portes drobes, de modifier des scripts, etc.

La vulnrabilit d’un plugin WordPress a ouvert un million de sites une prise de contrle distance, cette faille permet toute personne non identifie d’accder aux informations sensibles

Une vulnrabilit du kernel Linux expose la mmoire et provoque des fuites de donnes, alors que des discussions se poursuivent sur la prise en charge de Rust pour le dveloppement du noyau Linux

Plus de 3,6 millions de serveurs MySQL dcouverts exposs sur Internet, ce qui constitue une surface d’attaque potentielle pour les cybercriminels



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.