La vulnérabilité Zero-Day de Microsoft Office est utilisée pour exécuter PowerShell
Le 27 mai 2022, un bogue d'exécution de code à distance de type zero-day dans Microsoft Office a été découvert par Nao_Sec (1) et baptisé "Follina" par le chercheur Kevin Beaumont. Cette vulnérabilité permet à une personne non authentifiée d'obtenir un accès persistant et de prendre le contrôle d'un système cible à distance en exploitant des fichiers Microsoft Office téléchargés. Les pirates peuvent l'utiliser pour exécuter des commandes PowerShell malveillantes via Microsoft Diagnostic Tool (MSDT), même si les macros Office sont désactivées.
"Le document utilise la fonction de modèle à distance de Word pour récupérer un fichier HTML à partir d'un serveur web distant, qui à son tour utilise le schéma URI ms-msdt MSProtocol pour charger du code et exécuter du PowerShell", a expliqué le chercheur Kevin Beaumont. "Cela ne devrait pas être possible. (2)
Le 30 mai 2022, Microsoft a publié CVE-2022-30190. Les versions 2013, 2016, 2019 et 2021 de Microsoft Office, ainsi que les éditions Professional Plus, sont concernées. Cependant, aucun correctif n'est disponible au 1er juin 2022.
Dans cet article de blog, nous analysons l'échantillon de logiciel malveillant et vous montrons comment vous défendre contre les attaques.
Vue d'ensemble de l'attaque utilisant CVE-2022-30190
En analysant l'échantillon, nous avons constaté que l'approche de l'attaque n'est pas nouvelle. L'auteur de la menace a utilisé un vecteur d'attaque similaire à celui de la campagne exploitant CVE-2021-40444 en septembre 2021. Les deux attaques utilisaient un lien externe dans un fichier de relation menant à un fichier HTML malveillant.
En utilisant le phishing ou l'ingénierie sociale, les cybercriminels ont livré un fichier Microsoft Word (.docx) aux victimes ciblées et les ont incitées à l'ouvrir. Le fichier contient une URL externe renvoyant à un fichier HTML contenant un code JavaScript inhabituel.
Ce JavaScript fait référence à une URL avec le schéma ms-msdt : qui peut exécuter un code à distance.
Comment prévenir l'attaque
Le 30 mai 2022, Microsoft a publié des recommandations sur les solutions de contournement destinées à aider les utilisateurs à atténuer les risques liés à la vulnérabilité récemment découverte (3). À l'heure actuelle, la désactivation du protocole URL MSDT semble être l'option la plus simple. Toutefois, l'impact d'une telle désactivation n'est pas encore clairement établi.
Toutefois, si vous utilisez OPSWAT MetaDefender et notre technologie Deep CDR™ (Content Disarm and Reconstruction) de pointe, vous n'avez pas à vous soucier de tout cela. Votre réseau et vos utilisateurs sont à l'abri des attaques, car tout le contenu actif dissimulé dans les fichiers malveillants est désactivé par la technologie Deep CDR™ avant d'atteindre vos utilisateurs.
Ci-dessous, nous vous montrons comment la technologie Deep CDR™ traite le fichier malveillant et génère un fichier sûr pour vos utilisateurs, qu'il ait été téléchargé sur votre application web ou reçu en pièce jointe d'un e-mail.
Neutraliser le fichier Microsoft Word toxique
Dès qu'un fichier .docx contenant une URL malveillante pénètre dans le réseau de votre organisation par le biais d'e-mails, de téléchargements de fichiers, etc., MetaDefender à l'aide de plusieurs moteurs anti-malware via OPSWAT et examine le fichier à la recherche de menaces potentielles, telles que des objets OLE, des hyperliens, des scripts, etc. Ensuite, toutes les menaces intégrées sont supprimées ou nettoyées de manière récursive, en fonction des configurations de la technologie Deep CDR™. Comme le montrent les résultats de notre analyse de fichier, un objet OLE a été supprimé et le contenu XML a été nettoyé.
Après le processus, le document .docx ne contient plus le lien HTML malveillant car il a été remplacé par un lien "vide". Par conséquent, même si vos utilisateurs internes ouvrent le fichier, aucun logiciel malveillant n'est chargé et exécuté.
Après avoir analysé le fichier nettoyé généré à l'issue du processus à la fois avec OPSWAT et MetaDefender , nous pouvons constater que le document ne présente aucun risque.
Désactiver le JavaScript du fichier HTML
Même si vous configurez le moteur Deep CDR™ Technology pour qu'il accepte les URL contenues dans des fichiers, vous restez entièrement protégé. La technologie Deep CDR™ supprime le code JavaScript malveillant présent dans le fichier HTML chargé, car celui-ci est considéré comme une menace potentielle. Sans ce code JavaScript, le code PowerShell ne peut être ni téléchargé ni exécuté. Vos utilisateurs peuvent ouvrir et utiliser le fichier reconstitué, exempt de toute menace, avec une fonctionnalité totale.
Ne vous fiez pas à la détection
Cette nouvelle méthode d'exploitation est difficile à détecter car le logiciel malveillant est chargé à partir d'un modèle distant ; le fichier .docx peut ainsi contourner les défenses du réseau puisqu'il ne contient pas de code malveillant (2). De même, les cybercriminels continuent d'exploiter activement les vulnérabilités et d'abuser de divers vecteurs d'attaque en tirant parti des programmes et fonctionnalités de Microsoft Office, tels que les macros, les liens externes, les objets OLE, etc., pour diffuser ou déclencher des logiciels malveillants. Pour une véritable mise en œuvre du modèle « zero trust », vous ne pouvez pas vous fier à un modèle de sécurité de type « détecter pour protéger » pour prévenir les attaques de type « zero-day ». Les organisations ont besoin d'une solution complète de prévention des menaces pour se protéger à la fois contre les logiciels malveillants connus et inconnus.
La technologie Deep CDR™ est une solution innovante et efficace pour contrer les logiciels malveillants sophistiqués et les attaques « zero-day ». Elle bloque les attaques dès leur phase initiale en désactivant tous les composants exécutables suspects, tout en garantissant des fichiers 100 % sûrs et exempts de menaces.
En savoir plus sur la technologie Deep CDR™. Pour découvrir comment nous pouvons aider votre organisation à bénéficier d'une protection complète contre les documents malveillants, contactez dès maintenant un OPSWAT .
Référence
[1] https://twitter.com/nao_sec/status/1530196847679401984
