Les cybercriminels ont trouvé une nouvelle faille dans Microsoft Word. des documents qui leur permettent de distribuer des logiciels malveillantsles chercheurs disent.
Découverte par l’expert en cybersécurité Kevin Beaumont, et surnommée “Follina”, la faille exploite un utilitaire Windows appelé msdt.exe, conçu pour exécuter différents packs de dépannage sur Windows.
Selon le rapport, lorsque la victime télécharge le fichier Word armé, elle n’a même pas besoin de l’exécuter, il suffit de le prévisualiser dans l’Explorateur Windows pour que l’outil soit utilisé (il doit s’agir d’un fichier RTF, cependant).
En utilisant cet utilitaire, les attaquants sont capables d’indiquer au point de terminaison cible d’appeler un fichier HTML, à partir d’une URL distante. Les attaquants ont choisi le format xmlformats[.]com, essayant probablement de se cacher derrière le domaine openxmlformats.org d’apparence similaire, bien que légitime, utilisé dans la plupart des documents Word, suggèrent les chercheurs.
Reconnaissance de la menace
Le fichier HTML contient beaucoup de “déchets” qui masquent son véritable objectif : un script qui télécharge et exécute une charge utile.
Le rapport ne dit presque rien sur la charge utile réelle, il est donc difficile de déterminer la finalité de l’acteur de la menace. Il précise toutefois que la chaîne complète des événements liés aux échantillons rendus publics n’est pas encore connue.
Suite à la publication des résultats, Microsoft a reconnu la menace, affirmant qu’une vulnérabilité d’exécution de code à distance existe “lorsque MSDT est appelé en utilisant le protocole URL à partir d’une application appelante telle que Word”.
“Un attaquant qui réussit à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges de l’application appelante. L’attaquant peut alors installer des programmes, visualiser, modifier ou supprimer des données, ou créer de nouveaux comptes dans le contexte autorisé par les droits de l’utilisateur.”
Alors que certains antivirus, Microsoft a également publié une méthode d’atténuation, qui consiste à désactiver le protocole URL MSDT.
Bien que cela empêche le lancement des dépanneurs sous forme de liens, il est toujours possible d’y accéder en utilisant l’application Get Help et dans les paramètres du système. Pour activer cette solution de contournement, les administrateurs doivent procéder comme suit :
Exécutez l’invite de commande en tant qu’administrateur.
Pour sauvegarder la clé de registre, exécutez la commande “reg export HKEY_CLASSES_ROOT\ms-msdt nom du fichier”.
Exécutez la commande “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”.