Exploitée avec une certaine ardeur par des pirates, la faille 0-day « Follina », impactant toutes les versions de Windows, n'est toujours pas comblée par Microsoft. Et à ce stade, la firme ne semble pas assez pressée d'agir.
Le coup de gueule de la semaine nous vient d'ArsTechnica. Le site spécialisé revient sur la faille 0-day « Follina », qui n'a toujours pas été patchée par Microsoft. Découverte en avril dernier, cette brèche impactant Windows permet d'exécuter à distance, et avec « une facilité inhabituelle » du code sur les PC visés. Cette faille est actuellement exploitée par des pirates liés à des « groupes d'État connus », explique ArsTechnica, qui ajoute que ces derniers passent par des documents vérolés, envoyés par le biais de spams, pour compromettre leurs cibles.
« Follina », une faille activement exploitée
On apprend en l'occurrence qu'une petite dizaine de clients de Proofpoint (fournisseur de solutions logicielles sécurisées), appartenant à des gouvernements européens et à des autorités locales américaines, ont déjà été concernés par des attaques visant à exploiter la faille 0-day Follina. En parallèle, les chercheurs en sécurité de Kaspersky évoquent une augmentation des exploits Follina, dont la plupart ont touché les États-Unis, suivis du Brésil, du Mexique et de la Russie.
« Nous nous attendons à voir davantage de tentatives d'exploitation de Follina pour accéder aux ressources d'entreprises, notamment pour des attaques par ransomware et des violations de données », commentent ainsi les chercheurs de Kaspersky, cités par ArsTechnica.
Cette popularité éclair de Follina auprès des pirates est due à la facilité d'exploitation de cette faille. Par rapport à une attaque par document malveillant plus typique, compromettre un PC avec Follina requiert beaucoup moins d'interactions de la part de l'utilisateur ciblé. Dans le cas d'un document vérolé envoyé par mail, il n'est pas nécessaire que ce document soit ouvert par l'utilisateur pour que sa machine soit infectée. Le simple fait que ce document apparaisse dans une fenêtre de prévisualisation, même si l'affichage protégé est activé, peut en effet suffire.
Une réponse encore trop partielle de Microsoft
Malgré l'enthousiasme des pirates et l'inquiétude des chercheurs en sécurité, Microsoft semble pour sa part un peu trop flegmatique. La semaine dernière, la firme a tout de même reconnu l'existence la faille Follina, en lui attribuant le numéro de suivi CVE-2022-30190 et une estimation de 7,8 sur 10 sur son échelle de gravité. La firme n'a toutefois pas partagé de correctif, se contentant à ce stade de fournir des instructions permettant de désactiver le MSDT (Microsoft Support Diagnostic Tool) : un outil qu'elle estime être à l'origine de la faille.
« Les petites équipes de chercheurs en sécurité considèrent en grande partie l'approche nonchalante de Microsoft comme le signe qu'il s'agit d'une "vulnérabilité de plus", ce qui n'est certainement pas le cas », estime pour sa part Jake Williams, Directeur des recherches en cybermenaces chez Scythe. « La raison pour laquelle Microsoft continue de minimiser cette vulnérabilité, qui est activement exploitée, n'est pas claire. Cela n'aide certainement pas les équipes de sécurité », poursuit-il.
Dans l'immédiat, et en l'absence de mesures plus toniques de la part de Microsoft, les organisations, gouvernements et entreprises cibles doivent compter seulement sur eux-mêmes, leur vigilance et sur leurs propres protocoles de sécurité.
Sources : ArsTechnica, Kaspersky
Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, ici et ailleurs. N’hésitez pas à me retrouver sur Twitter !
Lire d'autres articles
