Un acteur de la menace persistante avancée (APT) aligné sur les intérêts de l’État chinois a été observé en train de militariser la nouvelle faille zero-day dans Microsoft Office pour obtenir l’exécution de code sur les systèmes concernés. « TA413 CN APT repéré [in-the-wild] exploitant le jour zéro Follina en utilisant des URL pour fournir des archives ZIP contenant des documents Word qui utilisent la technique », a déclaré la société de sécurité d’entreprise Proofpoint dans un tweet. « Les campagnes se font passer pour le ‘bureau d’autonomisation des femmes’ de l’administration centrale tibétaine et utilisent le domaine tibet-gov.web[.]app. » TA413 est surtout connu pour ses campagnes destinées à la diaspora tibétaine pour fournir des implants tels que Exile RAT et Sepulcher ainsi qu’une extension de navigateur Firefox surnommée FriarFox. La faille de sécurité de haute gravité, baptisée Follina et suivie comme CVE-2022-30190 (score CVSS : 7,8), concerne un cas d’exécution de code à distance qui abuse du schéma d’URI de protocole « ms-msdt : » pour exécuter du code arbitraire. Plus précisément, l’attaque permet aux acteurs de la menace de contourner les protections de la vue protégée pour les fichiers suspects en changeant simplement le document en un fichier RTF (Rich Text Format), permettant ainsi au code injecté d’être exécuté sans même ouvrir le document via le volet de prévisualisation. dans l’Explorateur de fichiers Windows. Alors que le bogue a suscité une large attention la semaine dernière, les preuves indiquent une exploitation active de la faille de l’outil de diagnostic dans des attaques réelles ciblant les utilisateurs russes il y a plus d’un mois, le 12 avril 2022, lorsqu’elle a été divulguée à Microsoft. La société, cependant, n’a pas considéré qu’il s’agissait d’un problème de sécurité et a fermé le rapport de soumission de vulnérabilité, citant des raisons pour lesquelles l’utilitaire MSDT nécessite une clé d’accès fournie par un technicien de support avant de pouvoir exécuter des charges utiles. La vulnérabilité existe dans toutes les versions Windows actuellement prises en charge et peut être exploitée via les versions Microsoft Office Office 2013 à Office 21 et les éditions Office Professional Plus. « Cette attaque élégante est conçue pour contourner les produits de sécurité et voler sous le radar en exploitant la fonctionnalité de modèle à distance de Microsoft Office et le protocole ms-msdt pour exécuter du code malveillant, le tout sans avoir besoin de macros », a noté Jerome Segura de Malwarebytes. Bien qu’aucun correctif officiel ne soit disponible à ce stade, Microsoft a recommandé de désactiver le protocole d’URL MSDT pour empêcher le vecteur d’attaque. De plus, il a été conseillé de désactiver le volet de prévisualisation dans l’explorateur de fichiers. « Ce qui distingue ‘Follina’, c’est que cet exploit ne tire pas parti des macros Office et, par conséquent, il fonctionne même dans des environnements où les macros ont été entièrement désactivées », a déclaré Nikolas Cemerikic d’Immersive Labs. « Tout ce qui est requis pour que l’exploit prenne effet est qu’un utilisateur ouvre et affiche le document Word, ou affiche un aperçu du document à l’aide du volet de prévisualisation de l’Explorateur Windows. Étant donné que ce dernier ne nécessite pas le lancement complet de Word, cela est efficace devient une attaque sans clic. »