Elle n’a pas encore de CVE, mais il ne fait aucun doute que les DSI et RSSI vont en entendre parler. La faille de type zero day dans Office, baptisée Follina, s’appuie sur des documents Word et est capable d’exécuter des commandes PowerShell via l’outil de diagnostic Microsoft (MSDT). La vulnérabilité a été découverte par hasard par le chercheur en sécurité nao_sec. Il a trouvé un document Word malveillant soumis à la plateforme d'analyse Virus Total depuis une adresse IP située en Biélorussie. Le chercheur Kevin Beaumont avait déjà alerté en avril dernier sur ce vecteur d’attaque. Il explique dans un blog qu'« il s'agit d'une chaîne de ligne de commande que Word exécute à l'aide de MSDT, même si les scripts macro sont désactivés ».
Plusieurs chercheurs en sécurité ont analysé le document malveillant partagé par nao_sec et ont réussi à reproduire l'exploit avec plusieurs versions d’Office, y compris Office365. La vulnérabilité existe dans Office 2013, 2016, Pro Plus à partir d'avril (sur Windows 11 avec les mises à jour de mai), et une version corrigée de la version 2021 de la suite bureautique.
Un exploit zero clic
La dangerosité de la faille Follina provient du fait qu’il est possible de l’activer sans intervention de l’utilisateur, c’est-à-dire en zero clic. Comme l’indique Kevin Beaumont dans son blog, Office dispose d’une sécurité nommée Protected View pour prévenir d’un document malveillant. Mais cette protection peut être contournée aisément en changeant le format du document en .rtf. Il est ainsi possible d’exécuter la charge utile sans même ouvrir le document.
Microsoft a été alerté sur ce problème et la faille Follina est maintenant classée comme CVE-2022-30190. L’éditeur souligne qu’« un attaquant qui réussit à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges de l'application sollicitée ». Il ajoute que le pirate « peut alors installer des programmes, visualiser, modifier ou supprimer des données, ou créer de nouveaux comptes dans le contexte autorisé par les droits de l'utilisateur. » Dans l’attente d’un patch, Microsoft propose des solutions de remédiation. Ainsi, les administrateurs et les utilisateurs peuvent bloquer les attaques exploitant CVE-2022-30190 en désactivant le protocole URL MSDT. Par ailleurs, l'antivirus Microsoft Defender 1.367.719.0 ou une version plus récente contient désormais des détections de l'exploitation possible de vulnérabilités sous différentes signatures.