La mise à jour à ne pas manquer : fin du support pour Office 2016 et Office 2019

Lire la suite
Nous utilisons l'intelligence artificielle pour les traductions de sites et, bien que nous nous efforcions d'être précis, il se peut que les traductions ne soient pas toujours exactes à 100 %. Nous vous remercions de votre compréhension.
Domicile/ Blog / Y a-t-il quelque chose à faire avec Follina ?
Gestion des Endpoint

Y a-t-il quelque chose que vous puissiez faire pour Follina ?

par Vinh Lam, gestionnaire principal de programme technique
Partager cet article

La vulnérabilité Zero-Day de Microsoft Office est utilisée pour exécuter PowerShell

Le 27 mai 2022, un bogue d'exécution de code à distance de type zero-day dans Microsoft Office a été découvert par Nao_Sec (1) et baptisé "Follina" par le chercheur Kevin Beaumont. Cette vulnérabilité permet à une personne non authentifiée d'obtenir un accès persistant et de prendre le contrôle d'un système cible à distance en exploitant des fichiers Microsoft Office téléchargés. Les pirates peuvent l'utiliser pour exécuter des commandes PowerShell malveillantes via Microsoft Diagnostic Tool (MSDT), même si les macros Office sont désactivées.

"Le document utilise la fonction de modèle à distance de Word pour récupérer un fichier HTML à partir d'un serveur web distant, qui à son tour utilise le schéma URI ms-msdt MSProtocol pour charger du code et exécuter du PowerShell", a expliqué le chercheur Kevin Beaumont. "Cela ne devrait pas être possible. (2)

Le 30 mai 2022, Microsoft a publié CVE-2022-30190. Les versions 2013, 2016, 2019 et 2021 de Microsoft Office, ainsi que les éditions Professional Plus, sont concernées. Cependant, aucun correctif n'est disponible au 1er juin 2022.

Dans cet article de blog, nous analysons l'échantillon de logiciel malveillant et vous montrons comment vous défendre contre les attaques.

Vue d'ensemble de l'attaque utilisant CVE-2022-30190

En analysant l'échantillon, nous avons constaté que l'approche de l'attaque n'est pas nouvelle. L'auteur de la menace a utilisé un vecteur d'attaque similaire à celui de la campagne exploitant CVE-2021-40444 en septembre 2021. Les deux attaques utilisaient un lien externe dans un fichier de relation menant à un fichier HTML malveillant.

En utilisant le phishing ou l'ingénierie sociale, les cybercriminels ont livré un fichier Microsoft Word (.docx) aux victimes ciblées et les ont incitées à l'ouvrir. Le fichier contient une URL externe renvoyant à un fichier HTML contenant un code JavaScript inhabituel.

une capture d'écran d'un fichier Microsoft Word codé en xml, utilisé à des fins militaires

Ce JavaScript fait référence à une URL avec le schéma ms-msdt : qui peut exécuter un code à distance. 

image du code JavaScript qui fait référence à un code d'exécution à distance
Il s'agit d'une image recréée à partir d'un POC provenant de https://twitter.com/0xBacco/status/1531599168363548672 pour montrer un exemple de JavaScript.

Comment prévenir l'attaque

On 30 May 2022, Microsoft published guidance on workarounds to support users mitigating the newly exposed vulnerability (3). Currently, disabling the MSDT URL protocol appears to be the easiest option. Nevertheless, it is not yet clear what the impact of disabling MSDT URL protocol could be.

However, if you are using OPSWAT MetaDefender with our industry-leading Deep CDR™ Technology (Content Disarm and Reconstruction) technology, you don't have to worry about all of these things. Your network and users are safe from the attacks since all the active content concealed in the harmful files is disabled by Deep CDR™ Technology before reaching your users.

Hereunder, we demonstrate how Deep CDR™ Technology handles the malicious file and generates a safe-to-consume file for your users whether it was uploaded to your web application or received as an email attachment.

Neutraliser le fichier Microsoft Word toxique

Once the .docx file with a malicious URL enters your organization's network via emails, file uploads, etc., MetaDefender scans it with multiple anti-malware engines using OPSWAT Metascan and examines the file for potential threats, such as OLE objects, hyperlinks, scripts, etc. Next, all the embedded threats are removed or recursively sanitized depending on Deep CDR™ Technology configurations. As shown in our file processing result, an OLE object was removed and the XML content was sanitized.

capture d'écran du tableau de bord d'OPSWAT MetaDefender Cloud ne montrant aucune menace détectée

Après le processus, le document .docx ne contient plus le lien HTML malveillant car il a été remplacé par un lien "vide". Par conséquent, même si vos utilisateurs internes ouvrent le fichier, aucun logiciel malveillant n'est chargé et exécuté.

capture d'écran du xml assaini d'un document Microsoft

En analysant le fichier nettoyé après le processus avec OPSWAT Metascan et MetaDefender Sandbox , nous pouvons constater que le document ne présente aucun risque.

Capture d'écran de la sandbox metadefender montrant qu'aucune menace n'a été détectée dans le fichier assaini.

Désactiver le JavaScript du fichier HTML

In case you configure Deep CDR™ Technology engine to accept URLs in files, you are still completely protected. Deep CDR™ Technology removes the malicious JavaScript in the loaded HTML file because it's considered as a potential threat. Without the JavaScript, the PowerShell code cannot be downloaded and executed. Your users can open and use the threat-free reconstructed file with full usability.

screenshot showing clean file sanitized with Deep CDR™ Technology

Ne vous fiez pas à la détection

This new exploitation method is hard to detect because the malware is loaded from a remote template, so the .docx file can bypass the network defense as it does not contain malicious code (2). Likewise, cybercriminals continue to actively exploit vulnerabilities and abuse various attack vectors leveraging Microsoft Office programs and features like macros, external links, OLE objects, and so on to deliver or trigger malware. For a true zero trust implementation, you cannot rely on a detect-to-protect security model to prevent zero-day attacks. Organizations need a comprehensive threat prevention solution to protect them from both known and unknown malware.

Deep CDR™ Technology is an innovative and effective solution to defeat advanced evasive malware and zero-day attacks. It stops the attacks at the earliest stage by disarming all suspect executable components, and at the same time, providing 100% threat-free safe to consume files.

Learn more about Deep CDR™ Technology. To see how we can help provide comprehensive protection to your organization against weaponized documents, talk to an OPSWAT specialist now.

Référence

[1] https://twitter.com/nao_sec/status/1530196847679401984

[2] https://medium.com/m/global-identity?redirectUrl=https%3A%2F%2Fdoublepulsar.com%2Ffollina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

[3] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

Tags :

Derniers messages

S'inscrire à la lettre d'information OPSWAT

Obtenez les dernières mises à jour de la société OPSWAT ainsi que des informations sur les événements et les nouvelles qui font avancer l'industrie OPSWAT les nouvelles qui font avancer l'industrie.
Signez-moi

Suivez-nous sur les réseaux sociaux Media

Suivez OPSWAT sur LinkedIn, Facebook, Twitter et YouTube pour en savoir plus !

Restez à jour avec OPSWAT!

Inscrivez-vous dès aujourd'hui pour recevoir les dernières mises à jour de l'entreprise, de l'entreprise, des histoires, des informations sur les événements, et plus encore.
S'abonner