Follina, maintenant connu sous le nom CVE-2022-30190 (l'atténuation est également disponible), est le nom d'une nouvelle zero-day dans Microsoft Office qui pourrait être exploité dans des attaques d'exécution de code arbitraire.
La vulnérabilité a été découverte par l'équipe de recherche nao_sec, suite à la découverte d'un document Word téléchargé sur VirusTotal à partir d'une adresse IP biélorusse. Les chercheurs ont posté une série de tweets détaillant leur découverte. La vulnérabilité exploite le lien externe de Microsoft Word pour charger le code HTML, puis utilise le 'ms-msdt’ schéma pour exécuter du code PowerShell.
Il convient de noter que le problème a été décrit pour la première fois par Microsoft en avril comme une vulnérabilité non liée à la sécurité, après qu'un chercheur en sécurité du Shadow Chaser Group a rapporté avoir observé un exploit public. Bien qu'il ait admis que le problème était activement exploité dans la nature, Microsoft ne l'a pas décrit comme un jour zéro.
Vulnérabilité Follina Zero-Day: Détails
La vulnérabilité a été surnommée "Follina" par le célèbre chercheur en cybersécurité Kevin Beaumont. "Le document utilise la fonctionnalité de modèle distant Word pour récupérer un fichier HTML à partir d'un serveur Web distant, qui à son tour utilise le schéma d'URI ms-msdt MSProtocol pour charger du code et exécuter du PowerShell,» selon son analyse.
"Il se passe beaucoup de choses ici, mais le premier problème est que Microsoft Word exécute le code via msdt (un outil d'accompagnement) même si les macros sont désactivées. La vue protégée démarre, bien que si vous modifiez le document au format RTF, il s'exécute sans même ouvrir le document (via l'onglet de prévisualisation dans l'explorateur) sans parler de la vue protégée,» Beaumont a ajouté.
Peu dit, le zero-day permet l'exécution de code dans une gamme de produits Microsoft, qui peut être exploité dans divers scénarios d'attaque. En outre, la vulnérabilité "brise la frontière de la désactivation des macros,” avec une détection des fournisseurs très médiocre.
Le chercheur a testé le zero-day sur différentes machines, et ça marche dans beaucoup de cas. Par exemple, la vulnérabilité fonctionne sous Windows 10 sans être administrateur local et avec des macros désactivées, et avec Defender en place. Cependant, c'est pas ca;ne fonctionne pas sur Insider et les versions actuelles de Microsoft Office, ce qui signifie que l'entreprise peut avoir fait quelque chose pour renforcer ou corriger la vulnérabilité sans le mentionner publiquement, Beaumont a dit, qui s'est peut-être produit en mai 2022.
"Une autre option tout à fait possible est que je suis trop idiot pour l'exploiter sur ces versions, et je viens de gâcher quelque chose," il ajouta. Il convient de mentionner que la faille existe dans Office 2013 et 2016. De nombreuses entreprises peuvent être exposées, comme il est courant pour les entreprises d'utiliser les anciens canaux d'Office 365 et ProPlus.
“Microsoft va devoir le corriger sur toutes les différentes offres de produits, et les fournisseurs de sécurité auront besoin d'une détection et d'un blocage robustes,” le chercheur conclu.