Nouveau Microsoft Office zero-day utilisé dans les attaques pour exécuter PowerShell

Les chercheurs en sécurité ont découvert une nouvelle vulnérabilité Microsoft Office zero-day qui est utilisée dans des attaques pour exécuter des commandes PowerShell malveillantes via Microsoft Diagnostic Tool simplement en ouvrant un document Word.

La vulnérabilité, qui n’a pas encore reçu de numéro de suivi et est désignée par la communauté infosec sous le nom de « Follina », est exploitée à l’aide de documents Word malveillants qui exécutent des commandes PowerShell via le MSDT. Ce nouveau Follina zero-day ouvre la porte à un nouveau vecteur d’attaque critique exploitant les programmes Microsoft Office car il fonctionne sans privilèges élevés, contourne la détection de Windows Defender et n’a pas besoin de code macro pour être activé pour exécuter des binaires ou des scripts.

Le code HTML utilise ensuite le schéma de protocole URI MS-MSDT de Microsoft pour charger du code supplémentaire et exécuter du code PowerShell.

Plusieurs chercheurs en sécurité ont analysé le document malveillant partagé par nao sec et ont réussi à reproduire l’exploit avec plusieurs versions de Microsoft Office.

Pour les organisations qui s’appuient sur les règles de réduction de la surface d’attaque de Microsoft Defender, Huntress conseille d’activer l’option « Empêcher toutes les applications Office de créer des processus enfants » en mode Bloquer, ce qui empêcherait les exploits de Follina.

Une autre atténuation, de Didier Stevens, consisterait à supprimer l’association de type de fichier pour ms-msdt afin que Microsoft Office ne puisse pas invoquer l’outil lors de l’ouverture d’un document Folina malveillant.

Partagez cet article sur les réseaux sociaux:

Abonnez-vous à l'Infolettre!

Abonnez-vous à notre bulletin mensuel pour rester au fait des principaux risques de cybersécurité.

Les Dernières Nouvelles de Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques de sécurité, lisez le ici en premier:

Faites nous part de vos besoins.
Obtenez une réponse le même jour ouvrable.

Faites nous part de vos besoins. Obtenez une réponse le même jour ouvrable.

Complétez le formulaire suivant et obtenez la réponse d’un expert le prochain jour ouvrable.
Un besoin urgent? Appelez-nous au 1-877-805-7475 ou prenez rendez-vous.
PCI-DSS

Une fois le formulaire envoyé:

  • Nous vous contactons pour connaître vos objectifs
  • Nous travaillons ensemble pour définir la portée du projet.
  • Vous obtenez une soumission tout incluse, sans engagement.

Scroll to Top