La nouvelle vulnérabilité Follina zero-day dans Microsoft Office fonctionne même avec les macros désactivées

La Nouvelle Vulnérabilité Follina Zero Day Dans Microsoft Office Fonctionne Même

En un mot : Follina ne nécessite pas l’activation de privilèges élevés ou de macros Office, et il n’est pas détecté par Windows Defender. Il fonctionne sur la plupart des versions d’Office et des systèmes d’exploitation entièrement mis à jour, les chercheurs soulignant qu’il peut être exploité même si un utilisateur sélectionne un fichier malveillant dans l’Explorateur Windows.

Les chercheurs viennent de révélé une nouvelle vulnérabilité zero-day dans Microsoft Office, que la communauté infosec a surnommée Follina. Il permet aux attaquants d’exécuter des commandes Powershell via Microsoft Diagnostic Tool (MSDT) une fois qu’un document Word malveillant est ouvert.

Ce qui rend cette vulnérabilité particulièrement dangereuse, c’est qu’elle contourne complètement la détection de Windows Defender, fonctionne sans privilèges élevés et ne nécessite pas l’activation des macros Office. Jusqu’à présent, il a été confirmé qu’il est présent dans Office 2013, 2016, 2019, 2021 et quelques versions incluses avec une licence Microsoft 365 sur Windows 10 et 11.

Comme l’explique Kevin Beaumont, un document malveillant utilise la fonctionnalité de modèle distant de Word pour récupérer un fichier HTML à partir d’un serveur Web distant. Ceci, à son tour, utilise le schéma ms-msdt MSProtocol Uniform Resource Identifier (URI) pour exécuter du code dans Powershell.

La vue protégée, une fonctionnalité qui avertit les utilisateurs des fichiers provenant d’emplacements potentiellement dangereux, active et signale le document comme potentiellement malveillant. Cependant, en convertissant le document en un fichier RTF (Rich Text Format), la vulnérabilité peut être exploitée simplement en sélectionnant le fichier (sans l’ouvrir) si l’option du volet de prévisualisation de l’Explorateur Windows est activée.

Fait intéressant, Microsoft a été informé de cette vulnérabilité en avril, mais a décidé de la rejeter car l’entreprise ne pouvait pas la reproduire.

Huntress Labs, une société de cybersécurité, dit qu’elle s’attend à ce que les attaquants exploitent Follina via une livraison par e-mail et avertit les gens d’être vigilants quant à l’ouverture des pièces jointes jusqu’à ce que la vulnérabilité soit corrigée.