Sécurité : "Follina", la faille de Microsoft Office qui permet de prendre le contrôle d’un PC Windows.

De quoi parle-t-on ? 

 

Des chercheurs de Nao Sec ont découvert une faille 0-day dans Microsoft Office - notamment Word - qui est actuellement utilisée par des cybercriminels. Une faille qui permet de prendre entièrement la main sur un ordinateur équipé de Windows. 

Cette faille nommée "Follina" a été reconnue par Microsoft le 30 mai 2022. Une faille très récente donc. 😦

 

Comment font-ils ?

La vulnérabilité exploitée se trouve dans l’outil de diagnostic et de support de Microsoft (MSDT) et est exploitable à l’aide d’un document Word piégé. 

Ainsi en ouvrant le document ou simplement en ouvrant sa prévisualisation, l’exploitation de la vulnérabilité va automatiquement ouvrir une URI/URL contenant du code Powershell malicieux (pas très bienveillant) qui s’exécutera et donnera à l’attaquant un rôle d’admin sur la machine ciblée. 🤯

 

Quelles solutions avons-nous ? 

 

myGenghis vous révèle les clés pour bloquer temporairement l’exploitation de cette faille 0-day en attendant que Microsoft émette un correctif définitif, car la faille est activement exploitée.  🙌

Des instructions qui nous viennent de Microsoft-même.

 

1 -  Ouvrez une invite de commande en mode Administrateur depuis le menu "Démarrer" de Windows (ou à partir de la recherche intégrée)

2 -  Faites une sauvegarde de la clé de registre avec la commande :

reg export HKEY_CLASSES_ROOTms-msdt msdt-backup.reg

 

3 -  Supprimez la clé de registre comme-ceci :

reg delete HKEY_CLASSES_ROOTms-msdt /f

 

4 -  Vous voilà protégé jusqu’à l’arrivée d’un correctif de la part de Microsoft. 

 

5 -  Enfin, pour tout remettre dans son état d’origine (soit de restaurer la clé d’origine à partir de la copie de sauvegarde) :

reg import msdt-backup.reg

 

 

PLUS D’INFOS :

 

Pour plus d’infos, vous pouvez consulter la déclaration officielle de cette faille CVE-2022-30190

Ainsi que ce thread Twitter qui explique en détail son fonctionnement.

Il y a même un PoC sur l’exploitation de cette faille disponible ici.