Nouveau Microsoft Office zero-day utilisé dans les attaques pour exécuter PowerShell

Les chercheurs en sécurité ont découvert une nouvelle vulnérabilité Microsoft Office zero-day qui est utilisée dans des attaques pour exécuter des commandes PowerShell malveillantes via Microsoft Diagnostic Tool simplement en ouvrant un document Word.

La vulnérabilité, qui n’a pas encore reçu de numéro de suivi et est désignée par la communauté infosec sous le nom de « Follina », est exploitée à l’aide de documents Word malveillants qui exécutent des commandes PowerShell via le MSDT. Ce nouveau Follina zero-day ouvre la porte à un nouveau vecteur d’attaque critique exploitant les programmes Microsoft Office car il fonctionne sans privilèges élevés, contourne la détection de Windows Defender et n’a pas besoin de code macro pour être activé pour exécuter des binaires ou des scripts.

Le code HTML utilise ensuite le schéma de protocole URI MS-MSDT de Microsoft pour charger du code supplémentaire et exécuter du code PowerShell.

Plusieurs chercheurs en sécurité ont analysé le document malveillant partagé par nao sec et ont réussi à reproduire l’exploit avec plusieurs versions de Microsoft Office.

Pour les organisations qui s’appuient sur les règles de réduction de la surface d’attaque de Microsoft Defender, Huntress conseille d’activer l’option « Empêcher toutes les applications Office de créer des processus enfants » en mode Bloquer, ce qui empêcherait les exploits de Follina.

Une autre atténuation, de Didier Stevens, consisterait à supprimer l’association de type de fichier pour ms-msdt afin que Microsoft Office ne puisse pas invoquer l’outil lors de l’ouverture d’un document Folina malveillant.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

BOOK A MEETING

Enter your Email Address

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* No free email provider (e.g: gmail.com, hotmail.com, etc.)

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.