Recevez chaque jour toute l'actualité du numérique

x

La faille zero day "Follina" de Microsoft serait déjà exploitée dans des attaques ciblées

Follina est le nom donné à une faille zero day récemment découverte dans plusieurs produits Microsoft, dont Windows 11 et Office 365. Elle serait déjà exploitée dans le cadre d'attaques ciblées, d'après le CERT-FR. En attendant un correctif, les entreprises concernées doivent appliquer au plus tôt des solutions de contournement. 
Twitter Facebook Linkedin Flipboard Email
×

La faille zero day Follina de Microsoft serait déjà exploitée dans des attaques ciblées
La faille zero day "Follina" de Microsoft serait déjà exploitée dans des attaques ciblées © Unsplash/Tadas Sar

Une vulnérabilité zero day a été découverte dans les produits de Microsoft par le chercheur en sécurité Nao_sec. Kevin Beaumont, également spécialisé en cybersécurité, a documenté cette faille dans un billet de blog publié le 29 mai.
 

Une attaque zero-click

Baptisée "Follina", cette vulnérabilité touche 41 produits Microsoft, dont Windows 11 et Office 365. En pratique, elle permet d'exécuter un code malveillant à distance sans l'intervention de l'utilisateur. "L'attaquant peut installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes dans le cadre autorisé par les droits de l'utilisateur", précise Microsoft dans un bulletin de sécurité publié le 30 mai.

Follina serait déjà exploitée dans le cadre d'attaques ciblées, d'après les informations du Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), un organe de l'Agence nationale de la sécurité des systèmes d'information (Anssi). De son côté, l'entreprise Proofpoint a affirmé que la faille est actuellement utilisée par un groupe d'attaquants parrainé par le gouvernement chinois pour cibler la communauté tibétaine.

Aucun correctif mais des mesures de contournement

Pour l'instant, aucun correctif n'a encore été publié par l'entreprise américaine. Elle propose des solutions de contournement. Ainsi, elle indique que si le fichier est ouvert par une application Office, le mode Protected View ou Application Guard for Office est enclenché et empêche la charge utile de s'exécuter.

Or, plusieurs chercheurs ont indiqué que cette faille pouvait être exploitée à l'aide d'un document au format RTF (format de fichier conçu par Microsoft). Dans ce cas, la charge utile pourrait ainsi être récupérée et exécutée lorsque le document est prévisualisé, par exemple dans Windows Explorer, et donc sans qu'il ne soit ouvert par l'utilisateur.

La Cybersecurity and Infrastructure Security Agency (CISA), l'agence fédérale américaine chargée d'améliorer le niveau de sécurité informatique des entités publiques, a exhorté les utilisateurs et les administrateurs d'appliquer le plus rapidement possible les contournements proposés par Microsoft.

Ce n'est pas la première fois que les produits de Microsoft contiennent des failles zero day, dont les hackers se sont saisis. En mars 2021, le logiciel de messagerie professionnelle Exchange a été pris pour cible par Hafnium, un groupe de des cybercriminels liés à Pékin. L'Autorité bancaire européenne (ABE), des ministères, des cabinets d'avocats... avaient ainsi été attaqués. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.