Les chercheurs de Proofpoint Threat Research rapportaient début juin la découverte d’une énorme faille de sécurité baptisée Follina. Celle-ci serait activement exploitée par des pirates depuis avril. Elle permet de créer un document Office vérolé, qui débouche sur l’exécution de code arbitraire sur la machine lors de l’ouverture. Pour cela, toute l’astuce consiste à exploiter le système MSDT qui permet d’ouvrir des URL, mais aussi de provoquer apparemment l’exécution de code.
Les chercheurs expliquaient notamment : “Une vulnérabilité d’exécution de code à distance existe lorsque MSDT est appelé via le protocole URL depuis une application source telle que Word. Un pirate qui exploite avec succès cette faille peut exécuter du code arbitraire avec les mêmes privilèges d’accès que ceux dont jouit l’application. Le pirate peut alors installer des programmes, consulter, changer ou supprimer des données, ou créer de nouveaux comptes dans le contexte autorisé par les droits de l’utilisateur sur la machine”.
Personne ne comprend pourquoi Microsoft tarde à corriger cette faille critique
L’exploitation de cette faille de sécurité visant les PC Windows semble surtout viser des cibles américaines, mais aussi en Europe. Elle se propage via des documents Office (essentiellement Word, mais le même type d’exploit existe aussi avec les autres applications de la suite) envoyés par mail. Or, malgré les alertes, Microsoft a pris une décision assez étonnante (pour ne pas dire légèrement choquante). Pour l’heure, en effet, malgré les délais qu’ont laissé les chercheurs à la firme, Microsoft n’a pas daigné sortir le moindre patch.
Pire encore – il semble que Microsoft considère la faille résolue après avoir délivré des instructions détaillées pour désactiver le protocole MSDT via des modifications de clés dans le registre système. Une opération que très peu d’administrateurs système sont susceptible de faire manuellement. L’un des derniers exemples repérés par Proofpoint est un email avec en pièce jointe un document RTF qui, lors de l’ouverture, utilise la faille Follina pour lancer un script Powershell.
Ce dernier vérifie la présence de virtualisation, vole les données qu’il peut dans les navigateurs, clients mail et services de fichiers, conduit des opérations de reconnaissance sur la machine, puis zippe l’ensemble avant de l’exflitrer via BitsAdmin. Proofpoint soupçonne l’attaque en raison de ses caractéristiques, d’être appuyée par un Etat. Pour Proofpoint “les produits Microsoft continue de constituer des opportunités riches en cibles pour les pirates et cela ne semble pas prêt de changer à court terme”.
Or, ajoutent les chercheurs, le contraste entre la forte popularité de l’exploit et le peu de cas que semble en faire Microsoft a de quoi choquer. Surtout compte-tenu de sa gravité (la faille est notée d’un sévère 7,8/10 dans la base de données CVE), et de l’étendue du parc de machines sous Windows. Selon Jake Williams, du spécialiste de la cyber-sécurité Scythe, “les équipes de sécurité plus modestes voient largement l’approche nonchalante de Microsoft comme un signe que ses ingénieurs considèrent ‘qu’il s’agit juste d’une énième vulnérabilité’ – ce qui n’est pas tout à fait le cas”.
Lire aussi – Un chercheur de Google découvre un nouveau type de faille dans Windows
Et d’ajouter : “On a du mal à comprendre pourquoi Microsoft continue de sous-estimer cette vulnérabilité activement exploitée dans la nature. Cela n’aide certainement pas les équipes de sécurité”. En ne faisant rien (ou pas grand chose) Microsoft risque de vite se retrouver dépassé par la situation. L’exploit a été ajouté à la framework de pentesting Metasploit, ce qui rend son utilisation triviale pour à peu près quiconque avec un minimum de connaissances. On espère vraiment que la firme prendra rapidement la mesure du problème, sous peine d’écorner encore l’image d’un écosystème très perméable aux piratages.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
