Attention : ce document Word exécute du code malveillant sans utiliser les macros
Des chercheurs en sécurité attirent l'attention des utilisateurs sur une vulnérabilité zero-day dans Microsoft Office, qui pourrait être exploitée pour exécuter du code arbitraire sur des machines Windows. Faisons le point sur cette faille de sécurité qui mérite une attention particulière compte tenu de sa dangerosité.
Une équipe de chercheurs en sécurité connue sous le nom de nao_sec a fait la découverte d'un document Word nommé "05-2022-0438.doc" par l'intermédiaire du site VirusTotal. Ce document a été chargé depuis une adresse IP localisée Biélorussie. À l'heure où j'écris ces lignes, 18 moteurs de détection le considèrent comme malveillant, sur un total de 61.
D'après Kevin Beaumont, qui a surnommé cette vulnérabilité "Follina", ce document Word malveillant s'appuie sur la technique d'attaque "Template Injection" dont l'objectif est de télécharger un fichier HTML à partir d'un serveur et il utilise le schéma "ms-msdt://" pour exécuter du code malveillant. Dans ce cas présent, le code malveillant est du code PowerShell. En temps normal, MSDT pour Microsoft Support Diagnostics Tool, est un utilitaire de Microsoft qui est utilisé pour collecter des données qui seront ensuite analysées par le support afin de diagnostiquer et résoudre un incident.
Habituellement, les documents piégés s'appuient sur les macros pour exécuter du code malveillant sur la machine. Cette fois-ci, c'est différent et ce n'est pas étonnant puisque Microsoft a durci sa politique au sujet des macros en forçant la désactivation par défaut de certaines macros. De ce fait, ce document Word malveillant peut infecter la machine même si les macros sont désactivées !
Il faut également se méfier de la fonction dans l'Explorateur de fichiers qui permet de prévisualiser le document, car cela permet de le charger. Voici ce que précise Kevin Beaumont d'après ses tests et notamment le mode protégé de Word : "La vue protégée s'active, mais si vous changez le document en format RTF, il s'exécute sans même ouvrir le document (via l'onglet de prévisualisation dans l'Explorateur)."
Ce qui est certain, c'est que Microsoft Office 2013, Office 2016, Office 2019 et Office 2021 sont affectés, y compris avec les derniers correctifs, mais il est probable que ce soit le cas aussi des autres versions, notamment Office via un abonnement Office 365. Pour le moment, il n'existe pas de correctifs pour se protéger contre cette faille de sécurité, donc vos utilisateurs doivent être vigilants dans les prochains jours (encore un peu plus que d'habitude).
