La faille 0-day Follina affectant Windows reste encore non patchée

Par Nathan Le Gohlisse, Spécialiste Hardware.

Publié le 09 juin 2022 à 14h00

Logo à l'arrière de la Microsoft Surface Pro 8 // © Nathan Le Gohlisse pour Clubic

Exploitée avec une certaine ardeur par des pirates, la faille 0-day « Follina », impactant toutes les versions de Windows, n'est toujours pas comblée par Microsoft. Et à ce stade, la firme ne semble pas assez pressée d'agir.

Le coup de gueule de la semaine nous vient d'ArsTechnica. Le site spécialisé revient sur la faille 0-day « Follina », qui n'a toujours pas été patchée par Microsoft. Découverte en avril dernier, cette brèche impactant Windows permet d'exécuter à distance, et avec « une facilité inhabituelle » du code sur les PC visés. Cette faille est actuellement exploitée par des pirates liés à des « groupes d'État connus », explique ArsTechnica, qui ajoute que ces derniers passent par des documents vérolés, envoyés par le biais de spams, pour compromettre leurs cibles.

« Follina », une faille activement exploitée

On apprend en l'occurrence qu'une petite dizaine de clients de Proofpoint (fournisseur de solutions logicielles sécurisées), appartenant à des gouvernements européens et à des autorités locales américaines, ont déjà été concernés par des attaques visant à exploiter la faille 0-day Follina. En parallèle, les chercheurs en sécurité de Kaspersky évoquent une augmentation des exploits Follina, dont la plupart ont touché les États-Unis, suivis du Brésil, du Mexique et de la Russie.

« Nous nous attendons à voir davantage de tentatives d'exploitation de Follina pour accéder aux ressources d'entreprises, notamment pour des attaques par ransomware et des violations de données », commentent ainsi les chercheurs de Kaspersky, cités par ArsTechnica.

Cette popularité éclair de Follina auprès des pirates est due à la facilité d'exploitation de cette faille. Par rapport à une attaque par document malveillant plus typique, compromettre un PC avec Follina requiert beaucoup moins d'interactions de la part de l'utilisateur ciblé. Dans le cas d'un document vérolé envoyé par mail, il n'est pas nécessaire que ce document soit ouvert par l'utilisateur pour que sa machine soit infectée. Le simple fait que ce document apparaisse dans une fenêtre de prévisualisation, même si l'affichage protégé est activé, peut en effet suffire.

Une réponse encore trop partielle de Microsoft

Malgré l'enthousiasme des pirates et l'inquiétude des chercheurs en sécurité, Microsoft semble pour sa part un peu trop flegmatique. La semaine dernière, la firme a tout de même reconnu l'existence la faille Follina, en lui attribuant le numéro de suivi CVE-2022-30190 et une estimation de 7,8 sur 10 sur son échelle de gravité. La firme n'a toutefois pas partagé de correctif, se contentant à ce stade de fournir des instructions permettant de désactiver le MSDT (Microsoft Support Diagnostic Tool) : un outil qu'elle estime être à l'origine de la faille.

« Les petites équipes de chercheurs en sécurité considèrent en grande partie l'approche nonchalante de Microsoft comme le signe qu'il s'agit d'une "vulnérabilité de plus", ce qui n'est certainement pas le cas », estime pour sa part Jake Williams, Directeur des recherches en cybermenaces chez Scythe. « La raison pour laquelle Microsoft continue de minimiser cette vulnérabilité, qui est activement exploitée, n'est pas claire. Cela n'aide certainement pas les équipes de sécurité », poursuit-il.

Dans l'immédiat, et en l'absence de mesures plus toniques de la part de Microsoft, les organisations, gouvernements et entreprises cibles doivent compter seulement sur eux-mêmes, leur vigilance et sur leurs propres protocoles de sécurité.

Sur le même sujet :
À court d'argent, les développeurs de Pegasus auraient voulu vendre leur logiciel espion

Sources : ArsTechnica, Kaspersky

Par Nathan Le Gohlisse

Spécialiste Hardware

Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, ici et ailleurs. N’hésitez pas à me retrouver sur Twitter !

Articles de Nathan Le Gohlisse

Cybersécurité

Microsoft

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Oldtimer

Et bien ils réagiront lorsqu’ils se feront pirater eux-mêmes.

Les antivirus sont ils pas capable de bloquer cette attaque par fichier vérolé ?

cid1

Un petit BSD ou Linux à la place de Windows et çà ça va vite les calmer chez micro-mou, à condition que beaucoup d’utilisateurs fassent de même.
Cette faille est dangereuse et si MS continue à ne rien faire, (ça touche toutes les versions de Windows) je vais les envoyer ch***.

Nmut

Il faut peut-être relativiser. Ce n’est pas parce qu’il n’y a pas de patch que MS ne travaille pas activement à trouver une correction.
Patcher un OS sur un problème d’architecture (ce qui semble être le cas), c’est infiniment plus compliqué que juste protéger contre un buffer overflow!!!

Popoulo

3ème article et toujours un manque crucial d’infos. Copié/collé d’un de mes commentaires sur le sujet.
« Microsoft Defender Antivirus provides detections and protections for possible vulnerability exploitation under the following signatures using detection build 1.367.719.0 or newer »
Quant à Microsoft Defender for Endpoint, article « Configuring attack surface reduction rules in Microsoft Defender for Endpoint ». Source MSRC.

Après, c’est au service informatique, prestataire ou que sais-je d’autre à faire son job au lieu de se toucher le pistil en attendant un « patch ».

userresu

« ces derniers passent par des documents vérolés, envoyés par le biais de spams, pour compromettre leurs cibles »

OK donc l’attaque n’a lieu que si l’interface chaise - clavier n’est pas (assez) vigilante

ça n’excuse pas la faille mais ça démontre une fois de plus que la plus grosse faille pour un système informatique d’entreprise c’est l’utilisateur final

Et dans ma boite,malgré des campagnes de phishing bidon pour sensibiliser les gens, beaucoup de personnes se font avoir car elles ne réfléchissent absolument pas une seule seconde avant de cliquer…

ultrabill

C’est tellement dangereux que tu ne passe pas à l’acte

bmustang

totalement d’accord avec toi, c’est la chaise, le clavier/souris qu’il faut retirer. Des millions d’euros pour des campagnes de sensibilisation qui ne font rien avancées, les scores sont toujours aussi flippants.

JeXxx

Si on récapitule, il y a une faille qui est exploitable à une seul condition, que l’utilisateur télécharge un fichier Word vérolé, qui par ailleurs cette info n’est même pas mentionné dans l’article donc bonjour la prévention… (sans doute pour attirer le troll bas de gamme et encore une fois pour avoir des commentaires de personnes qui encore une fois parlent de chose sans savoir sur la complexité d’un OS).

Ce fichier vérolé passerait à travers toutes les portes de tous les systèmes de sécurités mis en place dans une société ? Il y a un problème…

Ok un OS ne sera jamais sécurisé à 100% vu la complexité de celui-ci. Que ce soit Windows MacOs ou Linux ils peuvent tous se manger ce genre de faille.

Résumé, ça reste une faille importante parce que ça permet de rendre l’attaquant admin mais à la seul et unique condition est que l’utilisateur ouvre un fichier Word qui vient de on ne sait ou et de on ne sait qui. Donc comme dirait @userresu et @bmustang, le problème comme d’habitude se trouve entre la chaise et le clavier.

saladin_hs

Drôle de titre : une faille 0-day est par définition une faille non patché

Oldtimer

Je suis d’accord avec toi. Sauf que la News d semble dire qu’ils n’ont pas l’air trop actif sur le sujet : « Microsoft semble pour sa part un peu trop flegmatique. » et que ils finit par reconnaître la faille avec le CVE.

Après nous ne sommes pas tous informaticiens, même si on sait quoi un ordinateur etc… et pour certains connaissant plus que le simple envoie de mail etc… (je ne dis pas ça pour toi mais d’autres qui semblent vouloir dire que ceux qui n’y connaissent pas devraient la fermer en terme plus gentils )

C’est certain si c’est l’architecture qui est en cause, ça risque d’être long et probablement coûteux en terme de correction.

Si la solution est de désactiver un certain MSTD, il faudrait peut-être que Clubic donne directement la procédure à suivre pour qu’on puisse désactiver le machin. Sinon est ce que nos antivirus sont ils ou non capable de bloquer l’attaque ? Ok pour l’antivirus de microsoft si j’ai bien compris mais les autres ?

Parce que j’ai plusieurs gamins qui ont leur ordinateur chacun qu’ils utilisent pour les cours (avec justement beaucoup d’échange de fichiers word entre autre et j’ai mis Bitedefender dessus… et ils ne sont en France. J’ai beau leur apprendre à se méfier des e-mails d’inconnus, on ne sait jamais…
Moi même qui est très attentif, j’ai ouvert un mail qui semblait provenir de ma mutuel avec un lien et une demande urgente…

En temps normal je n’aurais pas cliqué sur le lien… mais voilà j’étais en train de quitter la boîte ou je travaillais à l’époque suite à un gros burn-out… et j’ai cliqué. Bon c’était rien de méchant apparemment, mais j’ai juste confirmé mon adresse mail perso. Or quelques jours après on apprenait que les serveurs de la mutuelle avaient reçu une visite…

Donc un ensemble de conditions réunies en même temps et clic ! Oui je confirme que c’était le trou duc assit entre la chaise et l’ordi qui a mer2é mais voilà c’était un trou duc humain qui n’est pas infaillible