{"id":178386,"date":"2022-06-01T06:36:01","date_gmt":"2022-06-01T08:36:01","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-chinois-commencent-a-exploiter-la-derniere-vulnerabilite-zero-day-de-microsoft-office\/"},"modified":"2022-06-01T06:36:04","modified_gmt":"2022-06-01T08:36:04","slug":"les-pirates-chinois-commencent-a-exploiter-la-derniere-vulnerabilite-zero-day-de-microsoft-office","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-chinois-commencent-a-exploiter-la-derniere-vulnerabilite-zero-day-de-microsoft-office\/","title":{"rendered":"Les pirates chinois commencent \u00e0 exploiter la derni\u00e8re vuln\u00e9rabilit\u00e9 Zero-Day de Microsoft Office"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un acteur de la menace persistante avanc\u00e9e (APT) align\u00e9 sur les int\u00e9r\u00eats de l&#8217;\u00c9tat chinois a \u00e9t\u00e9 observ\u00e9 en train de militariser la nouvelle faille zero-day dans Microsoft Office pour obtenir l&#8217;ex\u00e9cution de code sur les syst\u00e8mes concern\u00e9s.<\/p>\n<p>&#8220;TA413 CN APT rep\u00e9r\u00e9 [in-the-wild] exploitant le jour z\u00e9ro de Follina en utilisant des URL pour fournir des archives ZIP contenant des documents Word qui utilisent la technique \u00bb, la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d&#8217;entreprise Proofpoint <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/threatinsight\/status\/1531688214993555457\" target=\"_blank\">a dit<\/a> dans un tweet.<\/p>\n<p>&#8220;Les campagnes se font passer pour le &#8216;bureau d&#8217;autonomisation des femmes&#8217; de l&#8217;administration centrale tib\u00e9taine et utilisent le domaine tibet-gov.web[.]application.&#8221;<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/actor\/ta413\" target=\"_blank\">TA413<\/a> est surtout connu pour ses campagnes destin\u00e9es \u00e0 la diaspora tib\u00e9taine pour livrer des implants tels que <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.exilerat\" target=\"_blank\">Exiler le RAT<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.sepulcher\" target=\"_blank\">S\u00e9pulcre<\/a> ainsi qu&#8217;une extension de navigateur Firefox malveillante appel\u00e9e FriarFox.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/backup-github\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Arret-de-loperation-Conti-Ransomware-apres-la-division-en-groupes.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>La faille de s\u00e9curit\u00e9 de haute gravit\u00e9, baptis\u00e9e Follina et suivie comme CVE-2022-30190 (score CVSS\u00a0: 7,8), concerne un cas d&#8217;ex\u00e9cution de code \u00e0 distance qui abuse du sch\u00e9ma d&#8217;URI de protocole &#8220;ms-msdt\u00a0:&#8221; pour ex\u00e9cuter du code arbitraire.<\/p>\n<p>Plus pr\u00e9cis\u00e9ment, l&#8217;attaque permet aux acteurs de la menace de contourner <a rel=\"nofollow noopener\" href=\"https:\/\/support.microsoft.com\/en-us\/topic\/what-is-protected-view-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653\" target=\"_blank\">Vue prot\u00e9g\u00e9e<\/a> prot\u00e8ge les fichiers suspects en changeant simplement le document en un fichier RTF (Rich Text Format), permettant ainsi au code inject\u00e9 d&#8217;\u00eatre ex\u00e9cut\u00e9 sans m\u00eame ouvrir le document via le <a rel=\"nofollow noopener\" href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/powertoys\/file-explorer\" target=\"_blank\">Volet de pr\u00e9visualisation<\/a> dans l&#8217;Explorateur de fichiers Windows.<\/p>\n<p>Alors que le bogue a suscit\u00e9 une large attention la semaine derni\u00e8re, les preuves indiquent l&#8217;exploitation active de la faille de l&#8217;outil de diagnostic dans des attaques r\u00e9elles ciblant les utilisateurs russes il y a plus d&#8217;un mois, le 12 avril 2022, lorsqu&#8217;elle a \u00e9t\u00e9 divulgu\u00e9e \u00e0 Microsoft.<\/p>\n<p>La soci\u00e9t\u00e9, cependant, n&#8217;a pas consid\u00e9r\u00e9 qu&#8217;il s&#8217;agissait d&#8217;un probl\u00e8me de s\u00e9curit\u00e9 et a ferm\u00e9 le rapport de soumission de vuln\u00e9rabilit\u00e9, citant des raisons pour lesquelles l&#8217;utilitaire MSDT n\u00e9cessitait une <a rel=\"nofollow noopener\" href=\"https:\/\/social.technet.microsoft.com\/wiki\/contents\/articles\/30458.windows-10-ctp-how-to-run-microsoft-support-diagnostic-tool.aspx#How_shall_I_get_the_Passkey\" target=\"_blank\">passe-partout<\/a> fourni par un technicien de support avant de pouvoir ex\u00e9cuter des charges utiles.<\/p>\n<p>La vuln\u00e9rabilit\u00e9 existe dans toutes les versions Windows actuellement prises en charge et peut \u00eatre exploit\u00e9e via les versions Microsoft Office Office 2013 \u00e0 Office 21 et les \u00e9ditions Office Professional Plus.<\/p>\n<p>&#8220;Cette attaque \u00e9l\u00e9gante est con\u00e7ue pour contourner les produits de s\u00e9curit\u00e9 et passer inaper\u00e7ue en exploitant la fonctionnalit\u00e9 de mod\u00e8le \u00e0 distance de Microsoft Office et le protocole ms-msdt pour ex\u00e9cuter du code malveillant, le tout sans avoir besoin de macros&#8221;, a d\u00e9clar\u00e9 Jerome Segura de Malwarebytes. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.malwarebytes.com\/exploits-and-vulnerabilities\/2022\/05\/microsoft-office-zero-day-follina-its-not-a-bug-its-a-feature-its-a-bug\/\" target=\"_blank\">c&#8217;est not\u00e9<\/a>.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Bien qu&#8217;aucun correctif officiel ne soit disponible \u00e0 ce stade, Microsoft a recommand\u00e9 de d\u00e9sactiver le protocole d&#8217;URL MSDT pour emp\u00eacher le vecteur d&#8217;attaque.  De plus, cela a \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/wdormann\/status\/1531259406624620544\" target=\"_blank\">inform\u00e9<\/a> pour d\u00e9sactiver le volet de pr\u00e9visualisation dans l&#8217;explorateur de fichiers.<\/p>\n<p>&#8220;Ce qui distingue &#8216;Follina&#8217;, c&#8217;est que cet exploit ne tire pas parti des macros Office et, par cons\u00e9quent, il fonctionne m\u00eame dans des environnements o\u00f9 les macros ont \u00e9t\u00e9 enti\u00e8rement d\u00e9sactiv\u00e9es&#8221;, a d\u00e9clar\u00e9 Nikolas Cemerikic d&#8217;Immersive Labs.<\/p>\n<p>&#8220;Tout ce qui est requis pour que l&#8217;exploit prenne effet est qu&#8217;un utilisateur ouvre et affiche le document Word, ou affiche un aper\u00e7u du document \u00e0 l&#8217;aide du volet de pr\u00e9visualisation de l&#8217;Explorateur Windows. \u00c9tant donn\u00e9 que ce dernier ne n\u00e9cessite pas le lancement complet de Word, cela est efficace devient une attaque sans clic.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/05\/chinese-hackers-begin-exploiting-latest.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur de la menace persistante avanc\u00e9e (APT) align\u00e9 sur les int\u00e9r\u00eats de l&#8217;\u00c9tat chinois a \u00e9t\u00e9 observ\u00e9 en train de militariser la nouvelle faille zero-day dans Microsoft Office pour obtenir l&#8217;ex\u00e9cution de code sur les syst\u00e8mes concern\u00e9s. &#8220;TA413 CN APT rep\u00e9r\u00e9 [in-the-wild] exploitant le jour z\u00e9ro de Follina en utilisant des URL pour fournir [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":178387,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5663,11039,4168,4158,4165,4161,1869,17566,4157,4159,4171,4170,65,4167,8362,4160,4163,4162,4956,4394,4172,4169,4166,3667,4164,35759],"class_list":["post-178386","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chinois","tag-commencent","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-derniere","tag-exploiter","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-office","tag-pirates","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle","tag-zeroday"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/178386","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=178386"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/178386\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/178387"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=178386"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=178386"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=178386"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}