Les chercheurs en sécurité ont découvert une nouvelle vulnérabilité Microsoft Office zero-day qui est utilisée dans des attaques pour exécuter des commandes PowerShell malveillantes via Microsoft Diagnostic Tool simplement en ouvrant un document Word.
La vulnérabilité, qui n’a pas encore reçu de numéro de suivi et est désignée par la communauté infosec sous le nom de « Follina », est exploitée à l’aide de documents Word malveillants qui exécutent des commandes PowerShell via le MSDT. Ce nouveau Follina zero-day ouvre la porte à un nouveau vecteur d’attaque critique exploitant les programmes Microsoft Office car il fonctionne sans privilèges élevés, contourne la détection de Windows Defender et n’a pas besoin de code macro pour être activé pour exécuter des binaires ou des scripts.
Le code HTML utilise ensuite le schéma de protocole URI MS-MSDT de Microsoft pour charger du code supplémentaire et exécuter du code PowerShell.
Plusieurs chercheurs en sécurité ont analysé le document malveillant partagé par nao sec et ont réussi à reproduire l’exploit avec plusieurs versions de Microsoft Office.
Pour les organisations qui s’appuient sur les règles de réduction de la surface d’attaque de Microsoft Defender, Huntress conseille d’activer l’option « Empêcher toutes les applications Office de créer des processus enfants » en mode Bloquer, ce qui empêcherait les exploits de Follina.
Une autre atténuation, de Didier Stevens, consisterait à supprimer l’association de type de fichier pour ms-msdt afin que Microsoft Office ne puisse pas invoquer l’outil lors de l’ouverture d’un document Folina malveillant.