Une vulnérabilité récemment découverte dans Microsoft Office est déjà exploitée par des pirates liés au gouvernement chinois, selon une étude d’analyse des menaces de la société de sécurité Proofpoint.
Les détails partagés par Proofpoint sur Twitter suggèrent qu’un groupe de piratage étiqueté TA413 utilisait la vulnérabilité (nommée « Follina » par les chercheurs) dans des documents Word malveillants censés être envoyés par l’Administration centrale tibétaine, le gouvernement tibétain en exil basé à Dharamsala, en Inde. Le groupe TA413 est un acteur APT, ou « menace persistante avancée », qui serait lié au gouvernement chinois et qui a déjà été observé ciblant la communauté tibétaine en exil.
En général, les pirates chinois ont l’habitude d’utiliser des failles de sécurité logicielles pour cibler les Tibétains. Un rapport publié par Citizen Lab en 2019 a documenté un ciblage étendu de personnalités politiques tibétaines avec des logiciels espions, notamment via des exploits de navigateur Android et des liens malveillants envoyés via WhatsApp. Les extensions de navigateur ont également été militarisées à cet effet, une analyse précédente de Proofpoint révélant l’utilisation d’un module complémentaire Firefox malveillant pour espionner les militants tibétains.
La vulnérabilité de Microsoft Word a commencé à recevoir une large attention le 27 mai, lorsqu’un groupe de recherche sur la sécurité connu sous le nom de Nao Sec s’est rendu sur Twitter pour discuter d’un échantillon soumis au service d’analyse de logiciels malveillants en ligne VirusTotal. Le tweet de Nao Sec a signalé que le code malveillant était fourni via des documents Microsoft Word, qui ont finalement été utilisés pour exécuter des commandes via PowerShell, un puissant outil d’administration système pour Windows.
Dans un article de blog publié le 29 mai, le chercheur Kevin Beaumont a partagé plus de détails sur la vulnérabilité. Selon l’analyse de Beaumont, la vulnérabilité permet à un document Word conçu de manière malveillante de charger des fichiers HTML à partir d’un serveur Web distant, puis d’exécuter des commandes PowerShell en détournant l’outil de diagnostic de support Microsoft (MSDT), un programme qui collecte généralement des informations sur les plantages et autres problèmes avec les applications Microsoft.
Microsoft a maintenant reconnu la vulnérabilité, officiellement intitulée CVE-2022-30190, bien qu’il y ait des rapports selon lesquels des tentatives antérieures pour informer Microsoft du même bogue ont été rejetées.
Selon le propre blog de réponse de sécurité de Microsoft, un attaquant capable d’exploiter la vulnérabilité pourrait installer des programmes, accéder, modifier ou supprimer des données, et même créer de nouveaux comptes d’utilisateurs sur un système compromis. Jusqu’à présent, Microsoft n’a pas publié de correctif officiel, mais a proposé des mesures d’atténuation de la vulnérabilité qui impliquent la désactivation manuelle de la fonction de chargement d’URL de l’outil MSDT.
En raison de l’utilisation généralisée de Microsoft Office et des produits associés, la surface d’attaque potentielle de la vulnérabilité est importante. L’analyse actuelle suggère que Follina affecte Office 2013, 2016, 2019, 2021, Office ProPlus et Office 365 ; et, à partir de mardi, la US Cybersecurity and Infrastructure Security Agency exhortait les administrateurs système à mettre en œuvre les conseils de Microsoft pour atténuer l’exploitation.