A Stockphoto - stock.adobe.com
Follina : une grave vulnérabilité exploitée activement
Cette vulnérabilité affectant l’outil de diagnostic de support de Microsoft est activement exploitée via des documents malveillants. Mais aussi conjointement à une vulnérabilité touchant WSO2, pour au moins une campagne.
Une vulnérabilité inédite, dite de type « zero-day », affectant Microsoft Office fait l’objet d’une exploitation active. Aucun correctif n’est à ce stade disponible, mais l’éditeur a publié des solutions pour prévenir les attaques. En France, l’Anssi a publié une alerte.
La vulnérabilité, référencée CVE-2022-30190, a été découverte ce vendredi 27 mai par Nao_sec, un groupe indépendant de chercheurs en sécurité. Nao_sec a indiqué sur Twitter avoir repéré un document malveillant dans VirusTotal, téléversé par un utilisateur du Belarus. Ce document faisait référence à l’outil de diagnostic de support de Microsoft (Microsoft Support Diagnostic Tool, MSDT).
Le document en question « utilise le lien externe de Word pour charger le HTML et utilise ensuite le schéma “ms-msdt” pour exécuter du code PowerShell », a indiqué Nao_sec dans un tweet.
Au cours du week-end, d’autres chercheurs en sécurité ont examiné le document et confirmé l’existence d’une vulnérabilité inédite manifestement déjà exploitée activement auparavant. Le chercheur en sécurité indépendant Kevin Beaumont a publié dimanche un billet de blog sur la vulnérabilité, qu’il a surnommée « Follina », et a relevé d’autres échantillons l’exploitant téléversés sur VirusTotal en avril.
Interesting maldoc was submitted from Belarus. It uses Word's external link to load the HTML and then uses the "ms-msdt" scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022
Kevin Beaumont explique que la vulnérabilité permet à un document Microsoft Word d’exécuter du code au travers de MSDT, même si les macros sont désactivées. Les échantillons supplémentaires comprenaient des documents en russe donnant l’impression d’être liés à des entretiens d’embauche.
De son côté, John Hammond, chercheur en sécurité chez Huntress Labs a publié dimanche un rapport qualifiant cette vulnérabilité inédite de « nouvelle technique d’accès initial » qui peut être exécutée en un clic ou moins : « il s’agit d’une attaque séduisante pour les adversaires, car elle est dissimulée dans un document Microsoft Word, sans macros pour déclencher les signaux d’avertissement familiers aux utilisateurs, mais avec la possibilité d’exécuter du code hébergé à distance ».
Microsoft confirme la faille
Le centre de réponse de sécurité de Microsoft (MSRC) a confirmé dimanche l’existence de la vulnérabilité, sans toutefois la décrire comme inédite. Cependant, l’avis de sécurité de Microsoft pour la CVE-2022-30190 indique que l’exploitation a été détectée.
Le message du MSRC propose des solutions pour empêcher l’exploitation, à commencer par la désactivation du protocole MSDT URL. Microsoft affirme en outre qu’Application Guard pour Office bloquera les attaques exploitant la CVE-2022-30190, tout comme l’ouverture d’un document malveillant en mode « Protected View ».
Microsoft a attribué la découverte de la vulnérabilité MSDT au chercheur en sécurité anonyme « Crazyman », membre du collectif de chasseurs de menaces Shadow Chaser Group.
Dans son billet de blog, Kevin Beaumont note que Crazyman a signalé pour la première fois une activité malveillante pour la CVE-2022-30190 le 12 avril. Microsoft a répondu le 21 avril et a informé le chercheur qu’il ne s’agissait pas d’un problème de sécurité. La raison pour laquelle la soumission de la vulnérabilité a été initialement rejetée n’est pas claire.
Des exploitations en chaîne
Les équipes de Proofpoint ont également repéré des pièces jointes exploitant Follina, dont une attribuée au groupe chinois TA413 et visant le Tibet. Ce 1er juin, la MalwareHunterTeam a trouvé un autre échantillon exploitant la vulnérabilité Follina, observé en Arabie Saoudite.
Surprise, cet échantillon va télécharger la charge utile malveillante sur un système hébergeant une instance de la plateforme de middleware WSO2 Carbon, au sein de l’université d’Effat, à Jeddah. Et selon les observations de Germán Fernández, il est « très probable » que cette charge ait été déposée là par un acteur ayant au préalable exploité la vulnérabilité CVE-2022-29464 : « les webshells sont toujours là ».
Cette vulnérabilité – qui n’a pas de petit nom – a été rendue publique le 18 avril, avant de recevoir sa référence CVE et ses correctifs dans la foulée. Mais deux jours plus tard, un démonstrateur d’exploitation apparaissait déjà. Ironie du calendrier, Trend Micro appelait à nouveau à appliquer les correctifs pour cette vulnérabilité… ce 31 mai. L’éditeur faisait l’inventaire des activités malveillantes observées autour de la CVE-2022-29464, entre webshells, cryptomineurs ou encore balises Cobalt Strike.