Microsoft a officiellement publié des correctifs pour résoudre une vulnérabilité Windows zero-day activement exploitée connue sous le nom de Follina dans le cadre de ses mises à jour Patch Tuesday.
Sont également abordés par le géant de la technologie 55 autres défauts, dont trois sont classés critiques, 51 sont classés importants et un est classé modéré. Séparément, cinq autres défauts ont été résolus dans le navigateur Microsoft Edge.
Suivi comme CVE-2022-30190 (score CVSS : 7,8), le bogue zero-day concerne une vulnérabilité d’exécution de code à distance affectant l’outil de diagnostic de support Windows (MSDT) lorsqu’il est appelé à l’aide du schéma de protocole URI « ms-msdt : » à partir d’une application telle que Word.
La vulnérabilité peut être exploitée de manière triviale au moyen d’un document Word spécialement conçu qui télécharge et charge un fichier HTML malveillant via la fonction de modèle distant de Word. Le fichier HTML permet finalement à l’attaquant de charger et d’exécuter du code PowerShell dans Windows.
« Un attaquant qui réussit à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges de l’application appelante », a déclaré Microsoft dans un avis. « L’attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes dans le cadre autorisé par les droits de l’utilisateur. »
Un aspect crucial de Follina est que l’exploitation de la faille ne nécessite pas l’utilisation de macros, évitant ainsi à un adversaire de tromper les victimes pour qu’elles activent les macros pour déclencher l’attaque.
Depuis que les détails du problème ont fait surface à la fin du mois dernier, il a fait l’objet d’une vaste exploitation par différents acteurs de la menace pour supprimer une variété de charges utiles telles que AsyncRAT, QBot et d’autres voleurs d’informations. Les preuves indiquent que Follina a été maltraitée dans la nature depuis au moins le 12 avril 2022.
Outre CVE-2022-30190, la mise à jour de sécurité cumulative résout également plusieurs failles d’exécution de code à distance dans Windows Network File System (CVE-2022-30136), Windows Hyper-V (CVE-2022-30163), Windows Lightweight Directory Access Protocol, Microsoft Office, les extensions vidéo HEVC et Azure RTOS GUIX Studio.
Une autre lacune de sécurité à noter est CVE-2022-30147 (score CVSS : 7,8), une vulnérabilité d’élévation des privilèges affectant Windows Installer et qui a été marquée par une évaluation « Exploitation More Likely » par Microsoft.
« Une fois qu’un attaquant a obtenu un accès initial, il peut élever ce niveau d’accès initial à celui d’un administrateur, où il peut désactiver les outils de sécurité », a déclaré Kev Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs, dans un communiqué. « En cas d’attaque par ransomware, cela exploite l’accès à des données plus sensibles avant de chiffrer les fichiers. »
La dernière série de correctifs est également remarquable pour ne présenter aucune mise à jour du composant Print Spooler pour la première fois depuis janvier 2022. Ils arrivent également comme Microsoft l’a annoncé officiellement. soutien à la retraite pour Internet Explorer 11 à partir du 15 juin 2022, sur les canaux semi-annuels Windows 10 et les canaux semi-annuels Windows 10 IoT.
Correctifs logiciels d’autres fournisseurs
En plus de Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs depuis le début du mois pour corriger plusieurs vulnérabilités, notamment —