Découverte le 27 mai, la vulnérabilité ‘zero-day’ CVE-2022-30190 de Microsoft Office, surnommée Follina, affecte une quarantaine de versions de Windows Server 2022, 2019, 2016, 2012, 2008 et de Windows 11, 10, 8.1 et 7 d’après l’agence nationale de la sécurité des systèmes d’information (Anssi). Pour l’heure, Microsoft n’a pas annoncé de date de publication d’un correctif mais propose un contournement.
Le groupe japonais de recherche en cybersécurité Nao Sec a d’abord averti de la menace dans un tweet vendredi dernier, après avoir détecté un document malveillant venant du Belarus sur la plateforme VirusTotal.
Lundi 30 mai, Microsoft a confirmé le problème dans un post de blog, invitant les gens à être très vigilants lorsqu’ils ouvrent des pièces jointes, en particulier des documents Word, et exhortant les équipes informatiques à désactiver le protocole URL de l’outil de diagnostic Microsoft (MSDT).
« Un attaquant qui réussit à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges de l’application appelante », affirme Microsoft. « L’attaquant peut alors installer des programmes, visualiser, modifier ou supprimer des données, ou créer de nouveaux comptes dans le contexte autorisé par les droits de l’utilisateur. »
Dans un bulletin de sécurité daté du 31 mai, l’Anssi propose une règle Sigma, encore expérimentale, pour tenter de détecter l’exploitation de la vulnérabilité CVE-2022-30190.
L’agence française de cybersécurité précise dans une mise à jour, le 1er juin, que d’autres vecteurs d’attaque peuvent être utilisés – notamment l’utilisation de la commande wget disponible avec Powershell – et propose une nouvelle règle Sigma à portée plus large qui cherche aussi à détecter l’utilisation de msdt.exe en dehors du contexte Microsoft Office.
Dans l’attente d’un correctif, l’Anssi recommande vivement aux entreprises concernées d’appliquer la solution de contournement au plus vite car des attaques ciblées seraient en cours.
MaJ : Microsoft publie un correctif pour la faille Follina