Une nouvelle faille denouvel exploit de Microsoft Word peut secrètement exécuter un Malware sur votre ordinateur !

Des chercheurs en sécurité ont identifié une nouvelle vulnérabilité de MS Office qui pourrait sérieusement affecter les utilisateurs de`Word. Les cyber-criminels peuvent utiliser la fonction de modèle à distance de Word et l’outil de diagnostic du support Microsoft (MSDT) pour ainsi infecter les ordinateurs avec des Malware. À l’heure actuelle, les logiciels antivirus tels que Windows Defender ne peuvent pas détecter automatiquement l’exploit et l’empêcher de fonctionner en arrière-plan sur votre PC.

La menace, identifiée pour la première fois en avril 2022, semble provenir de Follina, en Italie (expliquant pourquoi la communauté des informaticiens l’a surnommée Follina). Jusqu’à présent, l’exploit ne semble fonctionner que sur les versions de Microsoft Office jusqu’à Office 2019. Cela dit, de nombreuses entreprises utilisent des versions plus anciennes de Windows et de Microsoft Office, ce qui peut  encore causer beaucoup de dégâts.

Télécharger des modèles Word : risquer la sécurité de votre système 

La fonction de modèle à distance de Word permet d’utiliser des modèles Word préfabriqués sous différents thèmes. Les modèles ne sont pas stockés dans Word sur le PC. Ils sont ainsi téléchargés à partir d’un serveur distant. Follina utilise cette fonction pour télécharger un fichier HTML à partir d’un serveur distant lorsque quelqu’un tente d’accéder au modèle infecté.

Le fichier HTML (Malware) s’exécute ensuite seul en arrière-plan en utilisant l’URI du protocole MSP ms-msdt pour récupérer et exécuter du code dans PowerShell. 

PowerShell est un programme d’automatisation des tâches et de gestion de la configuration de Microsoft. Ce programme est utilisé pour exécuter des commandes par lots sur Windows età des fins administratives.

String of malicious code deobfuscated by Kevin Beaumont

Jusqu’à présent, l’objectif de ce code n’est pas clair. Il semble accéder aux profils des utilisateurs sur l’ordinateur de la victime, copier des fichiers et ouvrir un fichier zip pour exécuter une commande. Les chercheurs n’ont pas identifié l’action de la commande car la source a été supprimée.

Il est possible que les cyber-criminels utilisent la vulnérabilité de Follina pour installer et exécuter toutes sortes de Malware. Ils peuvent notamment copier les fichiers présents sur l’appareil, espionner les internautes via leur webcam et suivre ce qu’ils font en ligne.

Risque d’abus généralisé

L’équipe de recherche en cybersécurité nao_sec a récemment découvert l’exploit dans un document Word provenant de la Biélorussie. Il visait apparemment les Russes dans un modèle de document Word intitulé « invitation à un entretien ». Le document lui-même est vierge, mais le code  s’exécute en arrière-plan dès qu’il est ouvert.

Tweet from nao_sec showcasing code from a malicious Word template

Pour aggraver les choses, le chercheur en sécurité Kevin Beaumont a noté que le code s’exécute même si les macros Office sont désactivées. Les macros font partie de l’offre MSDT et sont utilisées pour regrouper diverses commandes dans des documents à des fins d’automatisation. De nombreux experts en sécurité recommandent de les désactiver, car elles ont été utilisées à mauvais escient par des cyber-criminels dans le passé.

Follina est une faille de type « zero-day », ce qui signifie que les cyber-criminels peuvent continuer à l’exploiter, car Microsoft ne l’a pas corrigée. Cette vulnérabilité est d’autant plus dangereuse que les malfaiteurs peuvent infecter des millions d’ordinateurs avant que quiconque ne parvienne à mettre en place une protection adéquate.

Mise à jour de Microsoft Office

Plusieurs chercheurs en sécurité ont maintenant analysé et confirmé la vulnérabilité, en étant en mesure de la reproduire sur diverses versions de Microsoft Office. Ils ont averti que les conséquences pourraient être considérables, car l’exploit pourrait être utilisé pour collecter les hachages des mots de passe Windows des victimes.

Les victimes n’ont même pas besoin d’ouvrir le document pour que l’exploit fonctionne. Beaumont et d’autres chercheurs ont souligné que le code HTML s’exécute sur les documents RTF dès qu’un utilisateur les sélectionne. Beaumont prévient également que cet exploit est difficile à détecter. Étant donné qu’il utilise les fonctions natives de Windows, il contourne automatiquement la détection de Microsoft et des antivirus.

En cette date de publication de notre article, ce problème n’a pas été résolu par Microsoft. De ce fait, dans un premier temps, la société l’a complètement ignoré. Les chasseurs de menaces ont signalé l’exploit à Microsoft, mais les développeurs de l’entreprise n’ont trouvé aucun problème et ont fermé la requête.

Screenshot of a logged security issue that Windows developers marked complete
A response from a Microsoft employee on a logged security issue

Microsoft a depuis reconnu la vulnérabilité et publié des solutions de contournement pour ses clients.

Les chercheurs en sécurité travaillent sur les moyens d’éviter ce problème et ont fait quelques progrès, mais en attendant, tout le monde est vulnérable. Les responsables de la cybersécurité et les développeurs devront peut-être mettre en œuvre des mesures temporaires sur leurs systèmes locaux.

Éviter simplement les modèles Word n’est pas non plus une option viable à terme. Comme dans le cas de la Biélorussie, le document infecté peut être envoyé à n’importe qui par courrier électronique ou par d’autres moyens. Les entreprises qui n’utilisent pas l’abonnement Office 365 Insider devront redoubler de prudence jusqu’à ce que le problème soit atténué ou corrigé par Microsoft.

Laisser un commentaire

Écrire un commentaire

Votre e-mail ne sera pas publié. Les champs obligatoires sont marqués par (*).