{"id":282628,"date":"2022-06-01T16:32:12","date_gmt":"2022-06-01T15:32:12","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=282628"},"modified":"2024-02-15T11:17:19","modified_gmt":"2024-02-15T10:17:19","slug":"alerte-securite-follina-la-reponse-des-solutions-stormshield","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/fr\/actus\/alerte-securite-follina-la-reponse-des-solutions-stormshield\/","title":{"rendered":"Alerte s\u00e9curit\u00e9 CVE-2022-30190 Follina : la r\u00e9ponse des solutions Stormshield"},"content":{"rendered":"

Une nouvelle vuln\u00e9rabilit\u00e9 li\u00e9e \u00e0 la suite Office a \u00e9t\u00e9 r\u00e9cemment d\u00e9couverte. Cette faille est d\u00e9j\u00e0 exploit\u00e9e par des cyber-criminels, des fichiers malveillants exploitant la vuln\u00e9rabilit\u00e9 ayant \u00e9t\u00e9 d\u00e9couverts par des chercheurs nao_sec sur des plateformes de centralisation de pi\u00e8ces virales. Cette vuln\u00e9rabilit\u00e9 Microsoft, r\u00e9f\u00e9renc\u00e9e CVE-2022-30190, poss\u00e8de un score CVSS de 7.8\/10. Le point sur la menace Follina, avec l\u2019\u00e9quipe Stormshield Customer Security Lab.<\/strong><\/p>\n

Mise \u00e0 jour du 02\/06 :<\/strong> un nouveau sample utilisant une strat\u00e9gie d'exploitation diff\u00e9rente a \u00e9t\u00e9 d\u00e9couvert par les \u00e9quipes de Stormshield, les protections de Stormshield Endpoint Security Evolution ont \u00e9t\u00e9 modifi\u00e9es en cons\u00e9quence.<\/p>\n

 <\/p>\n

Le contexte de la vuln\u00e9rabilit\u00e9 Microsoft Follina<\/h2>\n

La soci\u00e9t\u00e9 de recherche en cybers\u00e9curit\u00e9 nao_sec<\/em><\/strong> annon\u00e7ait le 27 mai via Twitter avoir d\u00e9couvert une souche virale utilisant un nouveau vecteur d\u2019attaque trouv\u00e9 dans la nature. Ce nouveau vecteur utilise l\u2019outil de diagnostic Windows pour ex\u00e9cuter des charges malveillantes.<\/p>\n

La vuln\u00e9rabilit\u00e9 CVE-2022-30190 est dangereuse par sa facilit\u00e9 d\u2019exploitation et de r\u00e9alisation : il suffit d\u2019un fichier Office ou RTF pointant vers un serveur distribuant la charge virale. Microsoft a d\u2019ailleurs reconnu la vuln\u00e9rabilit\u00e9 dans une communication<\/a>.<\/p>\n

 <\/p>\n

Les d\u00e9tails techniques de la vuln\u00e9rabilit\u00e9 Microsoft Follina<\/h2>\n

Les techniques d\u2019exploitation de la vuln\u00e9rabilit\u00e9 CVE-2022-30190<\/h3>\n

L\u2019exploitation de cette vuln\u00e9rabilit\u00e9 permet de contourner les outils de s\u00e9curit\u00e9 et les mesures pr\u00e9ventives de la suite Office en trois points\u00a0:<\/p>\n

    \n
  1. La protection Office sur l\u2019\u00e9dition des documents provenant d\u2019internet :<\/li>\n<\/ol>\n
    \"\"

    Illustration 1 : blocage par d\u00e9faut de la manipulation des fichiers d\u2019internet<\/small><\/em><\/p><\/div>\n

      \n
    1. La protection Office sur les documents contentant des macros :<\/li>\n<\/ol>\n
      \"\"

      Illustration 2 : blocage par d\u00e9faut des macros<\/small><\/em><\/p><\/div>\n

        \n
      1. Une \u00e9ventuelle protection AV \/ Endpoint en exploitant de mani\u00e8re malveillante des ressources propri\u00e9taires Microsoft suppos\u00e9es b\u00e9nignes.<\/li>\n<\/ol>\n

        Pour l\u2019instant, les documents Office ne repr\u00e9sentent qu\u2019une seule des portes d\u2019entr\u00e9e potentielles. En effet, il est possible d'ouvrir une pi\u00e8ce malveillante par le moteur de diagnostic Windows, suite au chargement d\u2019un fichier .HTML via des commandes de scripting web comme wget<\/strong> ou curl<\/strong>.<\/p>\n

        Et si l\u2019on revient au cas du document malveillant (qui touche un public plus large), le fonctionnement est particuli\u00e8rement sournois puisque la charge virale contenue dans le fichier peut \u00eatre ex\u00e9cut\u00e9e soit lors de l\u2019ouverture du fichier, soit simplement lors de la pr\u00e9visualisation par l\u2019explorateur Windows :<\/p>\n

        \"\"

        Illustration 3 : le proof-of-concept lance des commandes PowerShell<\/small><\/em><\/p><\/div>\n

        Le sch\u00e9ma d\u2019attaque serait le suivant\u00a0:<\/p>\n

        \"\"

        Illustration 4 : un graphe d\u2019exploitation de la CVE-2022-30190<\/small><\/em><\/p><\/div>\n

         <\/p>\n

        Le vecteur d\u2019attaque exploite deux composants cl\u00e9s\u00a0:<\/p>\n

        Le premier<\/strong>\u00a0: un fichier de la suite Office, qui pointe vers une ressource HTML contr\u00f4l\u00e9e sur le serveur d\u2019un attaquant. Puisque les documents Microsoft Office sont construits comme des objets ayant une r\u00e9f\u00e9rence vers un serveur malveillant (ici, l\u2019adresse est localhost pour notre POC), la ressource va \u00eatre m\u00e9caniquement charg\u00e9e par Office et d\u00e9clencher la vuln\u00e9rabilit\u00e9.<\/p>\n

        \"\"

        Illustration 5 : le fichier de r\u00e9f\u00e9rence dans le document Office<\/small><\/em><\/p><\/div>\n

        Ce type de fichier n\u2019est pas malveillant en soi, et constitue un \u00e9l\u00e9ment obligatoire de n\u2019importe quel document Office embarquant du contenu h\u00e9berg\u00e9 sur le web.<\/p>\n

        Le second<\/strong>\u00a0: un fichier HTML construit pour d\u00e9clencher la vuln\u00e9rabilit\u00e9.<\/p>\n

        \"\"

        Illustration 6 : la ressource distance r\u00e9cup\u00e9r\u00e9e sur le serveur de l\u2019attaquant<\/small><\/em><\/p><\/div>\n

        Le r\u00e9sultat est la cr\u00e9ation de processus sur le poste d\u00e9marrant la charge d\u00e9sir\u00e9e, dans notre cas PowerShell. La chaine d\u2019ex\u00e9cution est en deux temps\u00a0: la premi\u00e8re partie l\u2019est par la suite Office avant d\u2019\u00eatre trait\u00e9e ensuite par le service d\u00e9di\u00e9 au DCOM.<\/p>\n

        \"\"<\/p>\n

        \"\"

        llustration 7 : le processus li\u00e9s \u00e0 l\u2019ex\u00e9cution de la charge<\/small><\/em><\/p><\/div>\n

        Les syst\u00e8mes cibl\u00e9s par la vuln\u00e9rabilit\u00e9 Follina<\/h3>\n

        Cette vuln\u00e9rabilit\u00e9 touche les syst\u00e8mes 7, 10 et 11, Server 2008 \u00e0 2022 \u00e0 la fois 32 bits et 64 bits, quel que soit le langage du syst\u00e8me.<\/p>\n

        Les autres informations de la vuln\u00e9rabilit\u00e9 Follina<\/h3>\n

        Kit d\u2019exploitation<\/strong><\/p>\n

        \u00c0 ce jour, il existe des POC permettant d\u2019industrialiser la cr\u00e9ation de documents Office en pr\u00e9cisant un serveur distant qui renvoie une charge malveillante \u00e0 ex\u00e9cuter. Il est donc d\u00e9sormais impossible de sp\u00e9cifier la menace par hash aux vues de l\u2019ampleur du nombre de documents qui pourraient \u00eatre g\u00e9n\u00e9r\u00e9s.<\/p>\n

        Droits administrateurs<\/strong><\/p>\n

        Ce type de malware ne n\u00e9cessite pas les droits administrateurs afin de pouvoir d\u00e9poser et lancer sa charge. En ce sens, les attaquants utiliseront cette vuln\u00e9rabilit\u00e9 pour \u00e9tablir un acc\u00e8s initial avant de tenter d\u2019autres actions.<\/p>\n

        D\u00e9lai d\u2019ex\u00e9cution<\/strong><\/p>\n

        Le malware effectue ses actions malveillantes tr\u00e8s peu de temps apr\u00e8s avoir d\u00e9marr\u00e9.<\/p>\n

        Divers<\/strong><\/p>\n