Les pirates soutenus par la Chine exploitent une vulnérabilité Microsoft Office non corrigée connue sous le nom de Follina pour exécuter à distance du code malveillant sur les systèmes Windows.
La vulnérabilité à haut risque – identifiée comme CVE-2022-30190 – est utilisée dans les attaques pour exécuter des commandes PowerShell malveillantes via l’outil de diagnostic de Microsoft lors de l’ouverture ou de la prévisualisation de documents Office spécialement préparés.
L’analyse actuelle indique que Follina affecte Office 2013, 2016, 2019, 2021, Office Pro Plus et Office 365.
Le bogue fonctionne sans privilèges élevés et contourne la détection de Windows Defender. Il n’a pas besoin de code macro pour être activé pour exécuter des scripts.
La faille pourrait également contourner la fonction d’affichage protégé de Microsoft, un outil Office qui avertit des fichiers et documents potentiellement malveillants.
Les chercheurs ont averti que la conversion du document en un fichier RTF pourrait permettre aux attaquants de contourner cet avertissement. La vulnérabilité peut également être exploitée sans aucun clic en survolant un fichier téléchargé pour le prévisualiser.
Le géant du logiciel a averti que la faille permettait aux attaquants d’installer des programmes, de supprimer des données et de créer de nouveaux comptes dans le cadre autorisé par les droits des utilisateurs.
Les chercheurs en cybersécurité ont remarqué que les pirates exploitaient la vulnérabilité pour cibler les utilisateurs russes et biélorusses depuis avril.
La société de sécurité d’entreprise Proofpoint a déclaré : Un groupe de piratage parrainé par l’État chinois exploite la vulnérabilité pour des attaques visant la communauté tibétaine internationale.
Le groupe TA413 cible les organisations tibétaines en utilisant des modules complémentaires de navigateur malveillants et des campagnes d’espionnage sur le thème des coronavirus. Le groupe est également connu sous le nom de LuckyCat et Earth Berberoka.
Vulnérabilité de sécurité dans Microsoft Office
Microsoft a reçu un rapport sur Follina le 12 avril, après la découverte de documents Word exploitant la faille.
Cependant, le chercheur qui a signalé la faille a déclaré : Microsoft a initialement classé la faille comme n’étant pas un problème de sécurité. Le géant du logiciel a ensuite informé le chercheur que le problème avait été résolu. Mais le patch ne semble pas disponible.
Microsoft a publié des directives pour empêcher les attaques qui exploitent CVE-2022-30190 en désactivant le protocole URL MSDT, ainsi que le panneau de prévisualisation dans l’Explorateur Windows.
La Cyber and Infrastructure Security Agency des États-Unis a émis une alerte exhortant les utilisateurs et les administrateurs à revoir les directives de l’entreprise et à mettre en œuvre les solutions nécessaires.