Clé à emporter
- Une nouvelle attaque Windows zéro clic qui peut compromettre les machines sans aucune action de l'utilisateur a été observée dans la nature.
- Microsoft a reconnu le problème et proposé des mesures correctives, mais le bogue n'a pas encore de correctif officiel.
- Les chercheurs en sécurité constatent que le bogue est activement exploité et s'attendent à d'autres attaques dans un proche avenir.
Les pirates ont trouvé un moyen de s'introduire dans un ordinateur Windows simplement en envoyant un fichier malveillant spécialement conçu.
Surnommé Follina, le bogue est assez grave car il pourrait permettre aux pirates de prendre le contrôle total de n'importe quel système Windows simplement en envoyant un document Microsoft Office modifié. Dans certains cas, les utilisateurs n'ont même pas besoin d'ouvrir le fichier, car l'aperçu du fichier Windows suffit à déclencher les éléments désagréables. Notamment, Microsoft a reconnu le bogue mais n'a pas encore publié de correctif officiel pour l'annuler.
"Cette vulnérabilité devrait toujours figurer en tête de liste des sujets de préoccupation", a écrit le Dr Johannes Ullrich, doyen de la recherche du SANS Technology Institute, dans la newsletter hebdomadaire du SANS. "Alors que les fournisseurs d'anti-malware mettent rapidement à jour les signatures, ils ne sont pas en mesure de se protéger contre le large éventail d'exploits susceptibles de tirer parti de cette vulnérabilité."
Preview to Compromise
La menace a été repérée pour la première fois par des chercheurs japonais en sécurité vers la fin du mois de mai grâce à un document Word malveillant.
Le chercheur en sécurité Kevin Beaumont a dévoilé la vulnérabilité et a découvert que le fichier.doc chargeait un faux morceau de code HTML, qui appelle ensuite l'outil de diagnostic Microsoft pour exécuter un code PowerShell, qui à son tour exécute la charge utile malveillante.
Windows utilise l'outil de diagnostic Microsoft (MSDT) pour collecter et envoyer des informations de diagnostic en cas de problème avec le système d'exploitation. Les applications appellent l'outil en utilisant le protocole spécial d'URL MSDT (ms-msdt://), que Follina vise à exploiter.
"Cet exploit est une montagne d'exploits empilés les uns sur les autres. Cependant, il est malheureusement facile à recréer et ne peut pas être détecté par un antivirus", ont écrit les défenseurs de la sécurité sur Twitter.
Dans une discussion par e-mail avec Lifewire, Nikolas Cemerikic, ingénieur en cybersécurité chez Immersive Labs, a expliqué que Follina est unique. Il ne prend pas la voie habituelle consistant à abuser des macros de bureau, c'est pourquoi il peut même faire des ravages pour les personnes qui ont désactivé les macros.
"Pendant de nombreuses années, le phishing par e-mail, associé à des documents Word malveillants, a été le moyen le plus efficace d'accéder au système d'un utilisateur", a souligné Cemerikic. "Le risque est maintenant accru par l'attaque de Follina, car la victime n'a qu'à ouvrir un document ou, dans certains cas, afficher un aperçu du document via le volet de prévisualisation de Windows, tout en supprimant la nécessité d'approuver les avertissements de sécurité."
Microsoft n'a pas tardé à mettre en place des mesures correctives pour atténuer les risques posés par Follina. "Les atténuations disponibles sont des solutions de contournement désordonnées dont l'industrie n'a pas eu le temps d'étudier l'impact", a écrit John Hammond, chercheur principal en sécurité chez Huntress, sur le blog de l'entreprise sur le bogue. "Ils impliquent de modifier les paramètres du registre Windows, ce qui est une affaire sérieuse car une entrée de registre incorrecte pourrait bloquer votre ordinateur."
Cette vulnérabilité devrait toujours être en haut de la liste des choses à craindre.
Bien que Microsoft n'ait pas publié de correctif officiel pour résoudre le problème, il en existe un non officiel du projet 0patch.
Parlant du correctif, Mitja Kolsek, co-fondateur du projet 0patch, a écrit que même s'il serait simple de désactiver complètement l'outil de diagnostic Microsoft ou de codifier les étapes de correction de Microsoft dans un correctif, le projet est allé pour une approche différente car ces deux approches auraient un impact négatif sur les performances de l'outil de diagnostic.
Ça ne fait que commencer
Les fournisseurs de cybersécurité ont déjà commencé à voir la faille activement exploitée contre certaines cibles de premier plan aux États-Unis et en Europe.
Bien que tous les exploits actuels semblent utiliser des documents Office, Follina peut être abusé par d'autres vecteurs d'attaque, a expliqué Cemerikic.
Expliquant pourquoi il pensait que Follina ne disparaîtrait pas de sitôt, Cemerikic a déclaré que, comme pour tout exploit ou vulnérabilité majeur, les pirates finissaient par développer et publier des outils pour faciliter les efforts d'exploitation. Cela transforme essentiellement ces exploits plutôt complexes en attaques pointer-cliquer.
"Les attaquants n'ont plus besoin de comprendre le fonctionnement de l'attaque ou d'enchaîner une série de vulnérabilités, il leur suffit de cliquer sur "exécuter" sur un outil", a déclaré Cemerikic.
Il a fait valoir que c'est exactement ce dont la communauté de la cybersécurité a été témoin au cours de la semaine dernière, avec un exploit très sérieux mis entre les mains d'attaquants et de script kiddies moins capables ou sans instruction.
"Au fil du temps, plus ces outils deviennent disponibles, plus Follina sera utilisé comme méthode de diffusion de logiciels malveillants pour compromettre les machines cibles", a averti Cemerikic, exhortant les gens à patcher leurs machines Windows sans délai.
