Il y a quelques semaines, le nouveau bogue zero-day de Follina a fait sensation dans l'exécution de code à distance dans Microsoft Office. Plus précisément, il s'agit d'une vulnérabilité de sécurité dans l'outil de diagnostic de support (MSDT) de Microsoft. Le BSI a maintenant déclaré le niveau d'avertissement orange (max. rouge) pour Follina. Le score CVSS (Common Vulnerability Scoring System) est désormais noté « Élevé » 7,8 sur 10.
Microsoft a déjà publié les détails et les mesures d'atténuation d'une vulnérabilité dans l'outil de diagnostic de support (MSDT) de Microsoft via le Microsoft Security Response Center le 30.05.2022 mai 2022. La vulnérabilité a reçu le numéro CVE (Common Vulnerabilities and Exposures) CVE-30190-7.8. Selon le Common Vulnerability Scoring System (CVSS), la gravité des vulnérabilités est classée à 3.1 (CVSSvXNUMX).
Le niveau d'avertissement passe de "jaune" à "orange"
La vulnérabilité peut être exploitée à l'aide d'un fichier Word spécialement conçu, qui peut permettre à des attaquants d'initier le téléchargement d'un fichier HTML à partir d'Internet sur la base de la fonction de modèle distant contenue dans le programme de traitement de document. Ceci peut
être utilisé à mauvais escient pour exécuter davantage de code PowerShell, permettant aux attaquants d'installer des programmes, d'afficher, de modifier ou de supprimer des données. Les découvertes des chercheurs en sécurité de nao_sec, qui ont découvert un fichier Word téléchargé et préparé sur VirusTotal, soulignent maintenant que la vulnérabilité est activement exploitée.
Que pouvez-vous faire?
Microsoft a déjà publié une solution de contournement officielle et, espérons-le, publiera bientôt un correctif permanent. Aussi pratiques que soient les URL propriétaires ms-xxxx de Microsoft, le fait qu'elles soient conçues pour démarrer automatiquement des processus lorsque certains types de fichiers sont ouverts ou même simplement prévisualisés constitue clairement un risque pour la sécurité.
En outre, une technique de dépannage couramment acceptée dans la communauté consiste simplement à rompre la relation entre ms-msdt:URL et l'utilitaire MSDT.EXE. Une description plus détaillée de la vulnérabilité peut être trouvée dans une première actualité de Sophos.
Plus sur BSI.bund.de
À propos de l'Office fédéral de la sécurité de l'information (BSI) L'Office fédéral de la sécurité de l'information (BSI) est l'autorité fédérale de cybersécurité et le concepteur de la numérisation sécurisée en Allemagne. L'énoncé de mission : Le BSI, en tant qu'autorité fédérale de cybersécurité, conçoit la sécurité de l'information dans la numérisation par la prévention, la détection et la réponse pour l'État, les entreprises et la société.