Détection de la vulnérabilité Follina : Nouveau zero-day de Microsoft Office exploité dans la nature
Table des matières :
Les chercheurs en cybersécurité mettent en lumière une nouvelle vulnérabilité zero-day dans Microsoft Office, observée dans la nature. Le 27 mai, la faille zero-day Follina a été documentée et signalée pour la première fois comme ayant été soumise depuis la Biélorussie. Selon la recherche, cette vulnérabilité zero-day nouvellement découverte dans Microsoft Office peut conduire à l’exécution de code arbitraire sur des appareils Windows compromis.
Détecter les tentatives d’exploitation de la vulnérabilité Follina
Pour permettre aux praticiens en cybersécurité de détecter les tentatives d’exploitation zero-day de Follina, l’équipe de SOC Prime a publié un ensemble de règles Sigma dédiées disponibles sur la plateforme Detection as Code et marquées en conséquence. Pour accéder à ce kit de règles, assurez-vous de vous connecter à la plateforme de SOC Prime avec vos identifiants existants ou créez un compte :
Toutes les détections sont compatibles avec plusieurs solutions de sécurité prises en charge par la plateforme SOC Prime et sont alignées avec le cadre MITRE ATT&CK® pour une visibilité accrue des menaces, abordant la tactique d’évasion de défense avec l’injection de modèle (T1221) comme technique principale.
Les équipes peuvent également tirer parti d’une autre règle Sigma qui peut aider à identifier les traces de cette dernière cyberattaque liée à l’exploitation de la vulnérabilité Follina :
La règle Sigma mentionnée ci-dessus peut être utilisée sur 23 solutions SIEM, EDR et XDR et traite de la technique d’exécution par proxy binaire signé (T1218) de la tactique d’évasion de défense basée sur le cadre MITRE ATT&CK.
Cliquez sur le Voir les détections bouton pour accéder à la collection complète d’algorithmes de détection permettant aux équipes de rester continuellement au courant des menaces émergentes. Les chercheurs en cybersécurité et chasseurs de menaces cherchant de nouvelles façons d’améliorer leurs compétences professionnelles tout en contribuant à l’expertise collaborative sont invités à rejoindre les rangs de notre programme Threat Bounty. En rejoignant cette initiative de crowdsourcing, les professionnels de la cybersécurité ont l’opportunité de monétiser leur contenu de détection tout en contribuant à une cyberdéfense pérenne.
Voir les détections Rejoindre Threat Bounty
Analyse de la vulnérabilité Follina
Juste après la vulnérabilité critique d’exécution de code à distance (RCE) dans Microsoft SharePoint Server suivie comme CVE-2022-29108, une autre faille compromettant les produits de Microsoft est mise en lumière. La nouvelle vulnérabilité zero-day de Microsoft Office, surnommée Follina, émerge dans l’arène des menaces cybernétiques lorsque l’équipe de recherche en cybersécurité japonaise nao_sec a repéré un fichier Word malveillant téléchargé sur VirusTotal depuis une adresse IP biélorusse. Ce document Word déclenche une chaîne d’infection en chargeant un fichier HTML à partir d’un modèle distant et conduit ensuite à l’exécution du code PowerShell malveillant pour infecter le système. spotted a malicious Word file uploaded to VirusTotal from the Belarusian IP address. This Word document triggers an infection chain by loading an HTML file from a remote template and further on leads to running the malicious PowerShell code to infect the system.
Ce qui aggrave le problème, c’est que Microsoft Word exécute le code malveillant via l’outil de diagnostic de support Microsoft même avec les macros désactivées. De plus, Microsoft Defender for Endpoint n’a pas pu détecter la faille selon la recherche de Kevin Beaumont qui a donné un nom à cette nouvelle vulnérabilité d’exécution de code Microsoft Office. Le bogue touche plusieurs versions d’Office, telles que 2013 et 2016, y compris la version corrigée de 2021, avec d’autres versions potentiellement compromises. Pour répondre rapidement à une menace, les défenseurs cybernétiques publient des exemples de code POC de la vulnérabilité Follina qui aident à identifier l’exposition et sont déjà disponibles publiquement, par exemple sur GitHub.
Étant donné que la vulnérabilité n’est pas corrigée et exploitée à l’état sauvage, une action immédiate des fournisseurs de sécurité est nécessaire. Comme l’une des mesures recommandées pour atténuer la vulnérabilité Follina, il est conseillé aux utilisateurs d’Office d’appliquer les schémas de protocole MS URI dans les emails Outlook.
Les leaders de la sécurité progressistes recherchent constamment des solutions durables et rentables pour accélérer les capacités de défense cybernétique et augmenter le niveau de cybersécurité de l’organisation. Exploiter la plateforme Detection as Code de SOC Prime aide les équipes à extraire plus de valeur de leurs investissements SIEM et XDR et augmente considérablement l’efficacité en cybersécurité.
