En un mot: Follina ne nécessite pas l’activation de privilèges élevés ou de macros Office, et il n’est pas détecté par Windows Defender. Il fonctionne sur la plupart des versions d’Office et des systèmes d’exploitation entièrement mis à jour, les chercheurs soulignant qu’il peut être exploité même si un utilisateur sélectionne un fichier malveillant dans l’Explorateur Windows.

Les chercheurs viennent de révélé une nouvelle vulnérabilité zero-day dans Microsoft Office, que la communauté infosec a surnommée Follina. Il permet aux attaquants d’exécuter des commandes Powershell via Microsoft Diagnostic Tool (MSDT) une fois qu’un document Word malveillant est ouvert.

Ce qui rend cette vulnérabilité particulièrement dangereuse, c’est qu’elle contourne complètement la détection de Windows Defender, fonctionne sans privilèges élevés et ne nécessite pas l’activation des macros Office. Jusqu’à présent, il a été confirmé qu’il est présent dans Office 2013, 2016, 2019, 2021 et quelques versions incluses avec une licence Microsoft 365 sur Windows 10 et 11.

Beaucoup de gens ont souligné que le mode protégé est requis lors de l’ouverture du document Word. Juste un rappel que le formatage en tant que fichier texte enrichi permet l’exploitation lorsque l’option du volet de prévisualisation de l’explorateur est activée (pas de bouton Activer l’édition non plus 😉 #Follina #MSDT https://t.co/ZUj5WXeWjN

– Kyle Hanslovan (@KyleHanslovan) 30 mai 2022

Comme Kevin Beaumont explique, un document malveillant utilise la fonctionnalité de modèle distant de Word pour récupérer un fichier HTML à partir d’un serveur Web distant. Ceci, à son tour, utilise le schéma ms-msdt MSProtocol Uniform Resource Identifier (URI) pour exécuter du code dans Powershell.

La vue protégée, une fonctionnalité qui avertit les utilisateurs des fichiers provenant d’emplacements potentiellement dangereux, active et signale le document comme potentiellement malveillant. Cependant, en convertissant le document en un fichier RTF (Rich Text Format), la vulnérabilité peut être exploitée simplement en sélectionnant le fichier (sans l’ouvrir) si l’option du volet de prévisualisation de l’Explorateur Windows est activée.

Ça dit pic.twitter.com/Z2AN7nq6hr

– crazyman_army (@CrazymanArmy) 30 mai 2022

Fait intéressant, Microsoft a été informé de cette vulnérabilité en avril, mais a décidé de la rejeter car l’entreprise ne pouvait pas la reproduire.

Huntress Labs, une entreprise de cybersécurité, dit il s’attend à ce que les attaquants exploitent Follina via la livraison par e-mail et avertit les gens d’être vigilants quant à l’ouverture des pièces jointes jusqu’à ce que la vulnérabilité soit corrigée.