Des pirates ont trouvé un moyen de s’introduire dans un ordinateur Windows simplement en envoyant un fichier malveillant spécialement conçu.
Baptisé Follina, ce bogue est assez grave puisqu’il pourrait permettre aux pirates de prendre le contrôle total d’un système Windows en envoyant simplement un document Microsoft Office modifié. Dans certains cas, il n’est même pas nécessaire d’ouvrir le fichier, car l’aperçu du fichier Windows suffit à déclencher les bits malveillants. Microsoft a reconnu le bug mais n’a pas encore publié de correctif officiel pour l’éliminer.
« Johannes Ullrich, doyen de la recherche du SANS Technology Institute, a écrit dans la lettre d’information hebdomadaire du SANS : « Cette vulnérabilité devrait toujours figurer en tête de liste des préoccupations. « Bien que les fournisseurs d’anti-malware mettent rapidement à jour les signatures, elles sont inadéquates pour se protéger contre le large éventail d’exploits qui peuvent tirer parti de cette vulnérabilité. »
Aperçu de la compromission
La menace a été repérée pour la première fois par des chercheurs en sécurité japonais à la fin du mois de mai, grâce à un document Word malveillant.
Le chercheur en sécurité Kevin Beaumont a découvert la vulnérabilité et a découvert que le fichier .doc chargeait un faux morceau de code HTML, qui fait ensuite appel à l’outil de diagnostic de Microsoft pour exécuter un code PowerShell, lequel exécute à son tour la charge utile malveillante.
Windows utilise l’outil de diagnostic Microsoft (MSDT) pour collecter et envoyer des informations de diagnostic lorsque quelque chose ne va pas dans le système d’exploitation. Les applications appellent l’outil en utilisant le protocole URL spécial MSDT (ms-msdt://), que Follina cherche à exploiter.
« Cet exploit est une montagne d’exploits empilés les uns sur les autres. Il est malheureusement facile à recréer et ne peut être détecté par les antivirus », ont écrit les défenseurs de la sécurité sur Twitter.
Dans une discussion par courriel avec Lifewire, Nikolas Cemerikic, ingénieur en cybersécurité chez Immersive Labs, a expliqué que Follina est unique. Il n’emprunte pas la voie habituelle de l’utilisation abusive des macros de bureau, c’est pourquoi il peut même faire des ravages chez les personnes qui ont désactivé les macros.
« Pendant de nombreuses années, le hameçonnage par courrier électronique, associé à des documents Word malveillants, a été le moyen le plus efficace d’accéder au système d’un utilisateur », a souligné M. Cemerikic. « Le risque est désormais accru par l’attaque Follina, car la victime n’a qu’à ouvrir un document ou, dans certains cas, à en afficher un aperçu via le volet d’aperçu de Windows, tout en supprimant la nécessité d’approuver les avertissements de sécurité. »
Microsoft n’a pas tardé à mettre en avant quelques mesures de remédiation pour atténuer les risques posés par Follina. « Les mesures d’atténuation disponibles sont des solutions de contournement désordonnées dont l’industrie n’a pas eu le temps d’étudier l’impact », a écrit John Hammond, chercheur principal en sécurité chez Huntress, dans le blog de plongée approfondie de la société sur le bug. « Elles impliquent la modification des paramètres du registre Windows, ce qui est une affaire sérieuse car une entrée incorrecte du registre peut bloquer votre machine. »
Cette vulnérabilité devrait tout de même figurer en tête de la liste des choses à craindre.
Alors que Microsoft n’a pas publié de correctif officiel pour résoudre le problème, le projet 0patch en a publié un non officiel.
Mitja Kolsek, cofondateur du projet 0patch, explique qu’il serait simple de désactiver l’outil de diagnostic de Microsoft ou de codifier les mesures correctives de Microsoft dans un patch, mais que le projet a opté pour une approche différente, car ces deux approches auraient un impact négatif sur les performances de l’outil de diagnostic.
Cela ne fait que commencer
Les fournisseurs de cybersécurité ont déjà commencé à constater que la faille est activement exploitée contre certaines cibles de premier plan aux États-Unis et en Europe.
Bien que tous les exploits actuels dans la nature semblent utiliser des documents Office, Follina peut être exploité par d’autres vecteurs d’attaque, a expliqué M. Cemerikic.
Expliquant pourquoi il pense que Follina n’est pas prêt de disparaître, M. Cemerikic explique que, comme pour tout exploit ou vulnérabilité majeure, les pirates finissent par développer et publier des outils pour faciliter les efforts d’exploitation. Cela transforme essentiellement ces exploits plutôt complexes en attaques de type « pointer-cliquer ».
Les attaquants n’ont plus besoin de comprendre le fonctionnement de l’attaque ou d’enchaîner une série de vulnérabilités, il leur suffit de cliquer sur « exécuter » un outil », a déclaré M. Cemerikic.
Selon lui, c’est exactement ce à quoi la communauté de la cybersécurité a assisté la semaine dernière, avec un exploit très sérieux mis entre les mains d’attaquants moins capables ou non éduqués et de script kiddies.
« Plus le temps passe, plus ces outils sont disponibles, plus Follina sera utilisé comme méthode de diffusion de logiciels malveillants pour compromettre les machines cibles », a averti M. Cemerikic, qui a exhorté les utilisateurs à appliquer sans délai des correctifs à leurs machines Windows.