Un acteur de la menace persistante avancée (APT) aligné sur les intérêts de l’État chinois a été observé en train de militariser la nouvelle faille zero-day dans Microsoft Office pour obtenir l’exécution de code sur les systèmes concernés.
« TA413 CN APT repéré [in-the-wild] exploitant le jour zéro de Follina en utilisant des URL pour fournir des archives ZIP contenant des documents Word qui utilisent la technique », la société de sécurité d’entreprise Proofpoint a dit dans un tweet.
« Les campagnes se font passer pour le ‘bureau d’autonomisation des femmes’ de l’administration centrale tibétaine et utilisent le domaine tibet-gov.web[.]application. »
TA413 est surtout connu pour ses campagnes destinées à la diaspora tibétaine pour livrer des implants tels que Exiler le RAT et Sépulcre ainsi qu’une extension de navigateur Firefox malveillante appelée FriarFox.
La faille de sécurité de haute gravité, baptisée Follina et suivie comme CVE-2022-30190 (score CVSS : 7,8), concerne un cas d’exécution de code à distance qui abuse du schéma d’URI de protocole « ms-msdt : » pour exécuter du code arbitraire.
Plus précisément, l’attaque permet aux acteurs de la menace de contourner Vue protégée protège les fichiers suspects en changeant simplement le document en un fichier RTF (Rich Text Format), permettant ainsi au code injecté d’être exécuté sans même ouvrir le document via le Volet de prévisualisation dans l’Explorateur de fichiers Windows.
Alors que le bogue a suscité une large attention la semaine dernière, les preuves indiquent l’exploitation active de la faille de l’outil de diagnostic dans des attaques réelles ciblant les utilisateurs russes il y a plus d’un mois, le 12 avril 2022, lorsqu’elle a été divulguée à Microsoft.
La société, cependant, n’a pas considéré qu’il s’agissait d’un problème de sécurité et a fermé le rapport de soumission de vulnérabilité, citant des raisons pour lesquelles l’utilitaire MSDT nécessitait une passe-partout fourni par un technicien de support avant de pouvoir exécuter des charges utiles.
La vulnérabilité existe dans toutes les versions Windows actuellement prises en charge et peut être exploitée via les versions Microsoft Office Office 2013 à Office 21 et les éditions Office Professional Plus.
« Cette attaque élégante est conçue pour contourner les produits de sécurité et passer inaperçue en exploitant la fonctionnalité de modèle à distance de Microsoft Office et le protocole ms-msdt pour exécuter du code malveillant, le tout sans avoir besoin de macros », a déclaré Jerome Segura de Malwarebytes. c’est noté.
Bien qu’aucun correctif officiel ne soit disponible à ce stade, Microsoft a recommandé de désactiver le protocole d’URL MSDT pour empêcher le vecteur d’attaque. De plus, cela a été informé pour désactiver le volet de prévisualisation dans l’explorateur de fichiers.
« Ce qui distingue ‘Follina’, c’est que cet exploit ne tire pas parti des macros Office et, par conséquent, il fonctionne même dans des environnements où les macros ont été entièrement désactivées », a déclaré Nikolas Cemerikic d’Immersive Labs.
« Tout ce qui est requis pour que l’exploit prenne effet est qu’un utilisateur ouvre et affiche le document Word, ou affiche un aperçu du document à l’aide du volet de prévisualisation de l’Explorateur Windows. Étant donné que ce dernier ne nécessite pas le lancement complet de Word, cela est efficace devient une attaque sans clic. »
