Microsoft prend en charge l’outil de diagnostic de l’exploitation de la vulnérabilité Follina
Annonce de service : Microsoft a publié des conseils pour une vulnérabilité Zero-Day récemment découverte dans la suite de productivité Office, qui pourrait être exploitée et permettre ensuite à un attaquant d’exécuter du code arbitraire sur les systèmes.
La vulnérabilité Follina – qui a le CVE attribué, CVE-2022-30190 – est notée 7,8 CVSS sur 10 pour la gravité. Il a été découvert le 29 mai 2022 et impliquait un document Word armé du monde réel pour exécuter du code PowerShell malveillant en utilisant l’URI ‘ms-msdt:’.
Le document Word exploité a été téléchargé dans une base de données de logiciels malveillants Open Source appelée VirusTotal de Biélorussie.
Cependant, il semble que cette vulnérabilité soit exploitée à l’échelle mondiale depuis avril 2022. Cette instance aurait ciblé quelqu’un en Russie avec un document Word malveillant (приглашение на интервью.doc) qui se faisait passer pour une invitation à un entretien avec Sputnik Radio, une station de radio très populaire en Russie.
La vulnérabilité est obtenue via l’exécution de code à distance (RCE) lorsque l’outil de diagnostic de support Microsoft (MSDT) est abusé à l’aide du protocole URL, qui appelle une application légitime dans la suite de productivité Office, telle que Word ou Excel. Un attaquant réussi qui exploite cette vulnérabilité peut ensuite exécuter un code malveillant avec les privilèges de l’application. À partir de là, l’acteur malveillant peut installer d’autres charges utiles, y compris des programmes, accéder, modifier ou supprimer des fichiers système et locaux, ou créer de nouveaux comptes si les autorisations des utilisateurs ciblés le permettent.
Solutions de contournement et correctifs
Bien qu’aucun correctif officiel n’ait été fourni par Microsoft, l’atténuation est disponible.
Clients Sentinel Essentiel
Si vous êtes l’un de nos clients Sentinel Essentials, des règles de détection des menaces personnalisées seront mises en œuvre dans votre environnement pour une détection active. De plus, nos analystes SOC recherchent de manière proactive tout indicateur de compromission (IOC) sur une base continue.
Il s’agit d’un événement en cours et nous continuons à suivre les développements. Si vous avez des questions ou avez besoin d’assistance, veuillez contacter notre service informatique au 01904 562207 ou par e-mail [email protected].