Le 27.05.2022, des chercheurs en sécurité du groupe ont averti nao_sec ont signalé une vulnérabilité de l’outil de diagnostic de support Microsoft Windows (MSDT).
Cette vulnérabilité, baptisée « Follina », permet à un utilisateur d’accéder à un serveur Powershell. CVE-2022-30190 La vulnérabilité de Follina permet à un attaquant d’exécuter des commandes Powershell arbitraires et donc, par exemple, d’installer un ransomware ou d’espionner des données sur les systèmes ciblés.
La vulnérabilité présente donc un risque considérable pour la sécurité informatique de l’ensemble de l’organisation, car les systèmes contrôlés par un attaquant peuvent diffuser des logiciels malveillants au sein du réseau de l’organisation.
Le potentiel de danger particulier de cette vulnérabilité réside dans sa relative simplicité. Après avoir téléchargé un document Office préparé en conséquence, le chargement de l’aperçu dans l’Explorateur Windows active le code malveillant. Le document ne doit donc pas être ouvert par l’utilisateur, l’interaction de l’utilisateur nécessaire à l’exécution du code malveillant est minimale. Dans les milieux de la sécurité, on parle donc d’un « Zero Click Exploit » en rapport avec « Follina ».
L’exploit ne s’attaque pas à l’implémentation notoirement vulnérable des macros VBA, mais au protocole « ms-msdt ».
Ce protocole est à la base de la correction automatisée des erreurs au sein de Windows et est donc activé par défaut dans toutes les versions de Microsoft Windows à partir de Windows 7, ainsi que dans les versions de Windows Server à partir de Windows Server 2008.
A l’origine, on pensait que « Follina » ne pouvait être exploité qu’en relation avec certaines versions de Microsoft Office.
Ces derniers jours, les indications selon lesquelles une exploitation de la faille est également possible indépendamment des applications Microsoft Office se sont toutefois multipliées.
S’appuyant sur l’étude de l’exploit par les experts en sécurité John Hammond et @KevTheHermit Les chercheurs en sécurité de KALWEIT ITS ont pu vérifier deux vecteurs d’attaque indépendants de MS Office.
Selon les rapports, les tentatives d’attaque actuelles semblent toutefois miser en premier lieu sur les documents Office manipulés comme mode de distribution primaire du code malveillant.
Ainsi, le compte Twitter géré par la société de sécurité proofpoint a annoncé Threat Insight le 03.06.2022, une campagne basée sur des e-mails visant les administrations (locales) européennes et américaines. Des informations non confirmées font également état d’attaques contre les autorités ukrainiennes et d’une campagne dans la région océanique.
Le 31.05.2022, le BSI a réagi en émettant un Notification du deuxième niveau d’alerte le plus élevé « 3 / Orange » (« La situation de menace informatique est critique pour les affaires. Perturbation massive du fonctionnement normal »).
Dans le « Security Response Center » de Microsoft (MSRC), le Degré de gravité de la vulnérabilité ) est évalué à 7,8 sur 10, et Microsoft indique également qu’il travaille à une mise à jour de sécurité.
Tant que cela n’est pas encore paru, le BSI et Microsoft s’accordent pour recommander de désactiver le gestionnaire de protocole MSDT-URL au moyen de clés de registre :
Pour cela, il faut procéder comme suit :
- Exécuter l’invite de commande avec les droits d’administrateur.
- La prochaine étape consiste à faire une sauvegarde de la clé de registre. Il est ainsi possible de le restaurer après une mise à jour de sécurité (ou en cas de problèmes survenus suite à la suppression de la clé). Pour ce faire, il faut utiliser la commande
reg export HKEY_CLASSES_ROOT\Nms-msdt Mon_nom_de_fichier
- Ensuite, la commande suivante permet de supprimer la clé de registre :
reg delete HKEY_CLASSES_ROOT\ms-msdt /f