La vulnérabilité Zero-Day de Microsoft Office est utilisée pour exécuter PowerShell
Le 27 mai 2022, un bogue d'exécution de code à distance de type zero-day dans Microsoft Office a été découvert par Nao_Sec (1) et baptisé "Follina" par le chercheur Kevin Beaumont. Cette vulnérabilité permet à une personne non authentifiée d'obtenir un accès persistant et de prendre le contrôle d'un système cible à distance en exploitant des fichiers Microsoft Office téléchargés. Les pirates peuvent l'utiliser pour exécuter des commandes PowerShell malveillantes via Microsoft Diagnostic Tool (MSDT), même si les macros Office sont désactivées.
"Le document utilise la fonction de modèle à distance de Word pour récupérer un fichier HTML à partir d'un serveur web distant, qui à son tour utilise le schéma URI ms-msdt MSProtocol pour charger du code et exécuter du PowerShell", a expliqué le chercheur Kevin Beaumont. "Cela ne devrait pas être possible. (2)
Le 30 mai 2022, Microsoft a publié CVE-2022-30190. Les versions 2013, 2016, 2019 et 2021 de Microsoft Office, ainsi que les éditions Professional Plus, sont concernées. Cependant, aucun correctif n'est disponible au 1er juin 2022.
Dans cet article de blog, nous analysons l'échantillon de logiciel malveillant et vous montrons comment vous défendre contre les attaques.
Vue d'ensemble de l'attaque utilisant CVE-2022-30190
En analysant l'échantillon, nous avons constaté que l'approche de l'attaque n'est pas nouvelle. L'auteur de la menace a utilisé un vecteur d'attaque similaire à celui de la campagne exploitant CVE-2021-40444 en septembre 2021. Les deux attaques utilisaient un lien externe dans un fichier de relation menant à un fichier HTML malveillant.
En utilisant le phishing ou l'ingénierie sociale, les cybercriminels ont livré un fichier Microsoft Word (.docx) aux victimes ciblées et les ont incitées à l'ouvrir. Le fichier contient une URL externe renvoyant à un fichier HTML contenant un code JavaScript inhabituel.
Ce JavaScript fait référence à une URL avec le schéma ms-msdt : qui peut exécuter un code à distance.
Comment prévenir l'attaque
Le 30 mai 2022, Microsoft a publié des conseils sur les solutions de contournement pour aider les utilisateurs à atténuer la vulnérabilité nouvellement exposée (3). Actuellement, la désactivation du protocole URL MSDT semble être l'option la plus simple. Néanmoins, l'impact de la désactivation du protocole URL MSDT n'est pas encore clair.
Toutefois, si vous utilisez OPSWAT MetaDefender avec notre solution de pointe Deep CDR (Content Disarm and Reconstruction), vous n'avez pas à vous préoccuper de tout cela. Votre réseau et vos utilisateurs sont à l'abri des attaques puisque tout le contenu actif dissimulé dans les fichiers nuisibles est désactivé par Deep CDR avant d'atteindre vos utilisateurs.
Nous montrons ci-dessous comment Deep CDR traite le fichier malveillant et génère un fichier sûr à consommer pour vos utilisateurs, qu'il ait été téléchargé sur votre application web ou reçu en pièce jointe d'un courrier électronique.
Neutraliser le fichier Microsoft Word toxique
Une fois que le fichier .docx contenant une URL malveillante pénètre dans le réseau de votre organisation par le biais d'e-mails, de téléchargements de fichiers, etc., MetaDefender l'analyse à l'aide de plusieurs moteurs anti logiciels malveillants en utilisant OPSWAT Metascan et examine le fichier à la recherche de menaces potentielles, telles que des objets OLE, des liens hypertextes, des scripts, etc. Ensuite, toutes les menaces intégrées sont supprimées ou nettoyées de manière récursive en fonction des configurations de Deep CDR . Comme le montre le résultat du traitement de notre fichier, un objet OLE a été supprimé et le contenu XML a été assaini.
Après le processus, le document .docx ne contient plus le lien HTML malveillant car il a été remplacé par un lien "vide". Par conséquent, même si vos utilisateurs internes ouvrent le fichier, aucun logiciel malveillant n'est chargé et exécuté.
En analysant le fichier nettoyé après le processus avec OPSWAT Metascan et MetaDefender Sandbox , nous pouvons constater que le document ne présente aucun risque.
Désactiver le JavaScript du fichier HTML
Si vous configurez le moteur Deep CDR pour qu'il accepte les URL dans les fichiers, vous êtes toujours totalement protégé. Deep CDR supprime le JavaScript malveillant dans le fichier HTML chargé, car il est considéré comme une menace potentielle. Sans JavaScript, le code PowerShell ne peut pas être téléchargé et exécuté. Vos utilisateurs peuvent ouvrir et utiliser le fichier reconstruit sans menace avec une totale convivialité.
Ne vous fiez pas à la détection
Cette nouvelle méthode d'exploitation est difficile à détecter car le logiciel malveillant est chargé à partir d'un modèle distant, de sorte que le fichier .docx peut contourner la défense du réseau car il ne contient pas de code malveillant (2). De même, les cybercriminels continuent d'exploiter activement les vulnérabilités et d'abuser de divers vecteurs d'attaque en tirant parti des programmes et des fonctionnalités de Microsoft Office, tels que les macros, les liens externes, les objets OLE, etc. pour diffuser ou déclencher des logiciels malveillants. Pour une véritable mise en œuvre de la confiance zéro, vous ne pouvez pas compter sur un modèle de sécurité "détecter pour protéger" pour prévenir les attaques de type "zero-day". Les entreprises ont besoin d'une solution complète de prévention des menaces pour se protéger des logiciels malveillants connus et inconnus.
Deep CDR est une solution innovante et efficace pour vaincre les logiciels malveillants évasifs avancés et les attaques de type "zero-day". Elle arrête les attaques au stade le plus précoce en désarmant tous les composants exécutables suspects et, dans le même temps, en fournissant des fichiers sûrs à consommer et exempts de menaces à 100 %.
En savoir plus sur la technologieDeep CDR . Pour savoir comment nous pouvons vous aider à fournir une protection complète à votre organisation contre les documents militarisés, contactez un spécialiste OPSWAT dès maintenant.
Référence
[1] https://twitter.com/nao_sec/status/1530196847679401984
