Skip to content
Home » Un cheval de Troie bancaire utilise une faille critique dans Windows

Un cheval de Troie bancaire utilise une faille critique dans Windows

Cela vous interessera aussi


[EN VIDÉO] Comment ajouter des cases à car dans Word?
Avec ce nouveau tuto tech de Futura, discover comment create des cases à carror sur Word. © Future

La faille “zero day” Follina prend de l’ampleur. Signalée fin mai, cette faille, sous la référence CVE-2022-30190, permet d’use a Word document pour lancer des commandes PowerShell, et ce me si the macros are deactivated.

Désormais, a group of hackers connu sous la désignation TA570 profite de la faille pour propagar le Cheval de Troie Bancaire Qbot. Celui-ci est spécialisé dans le vol de données personnelles et banking. The victims received an e-mail with a file HTML in piece jointe. Please download a compressed ZIP file containing a disk image (IMG file) which ultimately includes a Word file, a DLL file and a link. c’est ce document Word who installed the Qbot malware.

About attacks on the government and the Tibetan diaspora

Ce n’est pas la seule attack à exploiter la faille Follina. La semaine dernière, l’entreprise Proofpoint a tecté des attacks de type phishing visant plusieurs membres de gouvernements en Europe et aux États-Unis. Ils ont reçu e-mail leur promettant une hausse de salaire avec en piece jointe an RTF fichier que installe a malware capable of voler des données dans les navigateurs et logiciels of messagerie. Selon Proofpoint, the group of chinese hackers TA413 APT utiliserait également la faille pour viser la diaspora tibétaine avec des méthodes similaires.

At the moment, microsoft n’a toujours pas sorti de correctif. south son siteMicrosoft recommends that you disable the MSDT protocol in order to start the launch of the utility of diagnosis I used dans la faille Follina. Pour cela, la firma qu’il faut d’abord sauvegarder, puis supprimer toute la clé HKEY_CLASSES_ROOTms-msdt Dans will register you from Windows.

Comment des pirates peuvent prendre la main dès l’ouverture d’un fichier Word

A new fail to discover this Microsoft Word by a hacker who can take control of a computer avec a simple document, et ce sans utiliser les macros. Baptisée Follina, la faile permet même de lancer le code sans que le document ne soit ouvert par l’utilisateur thanks to the preview of the file explorer.

Article d’Edward Backpublished on 06/01/2022

Now, tout le monde, ou presque, let me understand that macros are peuvent être dangereux dans Microsoft Word. Après tout, le logiciel los blocks par défaut et affiche un bandeau d’avertissement. Toutefois, ce n’est pas le seoul moyen d’utiliser le logiciel pour infect a computer. South Twitterl’utilisateur @nao_sec to share a code malveillant discovered give a document Word.

Ce code utilise une faille baptisée Follina. She is classée « zero day », autrement dit déjà exploitée par les pirates et sans mise à jour (Microsoft a « zéro jour » pour sortir a correctif). @nao_sec I pointed out the code in question for hasard on the Virus Total site in cherchant des documents utilisant une autre faille. An Internet user located in Biélorussie aurait soumis the document in question on his site in order to verify if it was detected by the different antiviruses.

A disguised code in base 64

The code uses the remote model function of the software to load an HTML file after a serveur. Celui-ci detourne ensuite l’util de diagnostic du support Microsoft (MSDT) pour loader un fichier et exécuter des commandes PowerShell. Et ce, même si the macros are deactivated. The author of the code used the same technique that celle detected on certain Web sites to dissimulate the problematic commands: they are converted to base 64, and decoded at the time of execution.

Les chercheurs ignore quel était le but exact de l’auteur, since the second file is not more available. Toutefois, from the moment he is the executor of PowerShell commands, he can potentially gain total control of the computer and attacker of other machines on him. local reseau.

Follina is particularly problematic. By default, Word opens the files in .docx format in protected mode. The code is only executed if the user clicks on « Activate the modification ». Toutefois, s’il est au format .rtf cette protection n’est pas activée. Of plus, il suffit dans ce cas de le sélectionner dans l’explorateur de fichiers, sans l’ouvrir, por que le code soit exécuté.

A demonstration of the function of Follina sur une version à jour d’Office 2021. © Didier Stevens

A signalement left refusé by Microsoft in April

Le code fonctionne sur toutes les versions de microsoft-office after au moins 2013, and buy Office 2021, et ce me avec toutes les mises à jour. Il s’avère que le problème avait déjà été signalé à microsoft in April for the Shadow Chaser Group, a team of students who chase the fails. Un dénommé John, du Microsoft Security Response Center (MSRC), s’était alors contenté to say that ce n’était pas un security problem, et que l’échantillon soumis ne fonctionnait pas sur son ordinateur. Microsoft semble avoir changé d’avis, puisque ce 30 mai I signed it to register the faille sous la référence CVE-2022-30190.

Actually, there is no simple way to protect yourself from this attack. In attendant une mise à jour, the solution la más courante semble d’éditer le registre pour empêcher le lancement de l’util de diagnostic depuis Word. Pour ce faire, il faut believe la valeur EnableDiagnostics dance HKLMSOFTWAREPoliciesMicrosoftWindowsScriptedDiagnostics et la mettre à 0.

More attention, this solution is reserved for advanced utilities. Toute erreur de modification du registre risquerait d’endommager le système et empêcher l’ordinateur de démarrer.

I am interested in what you have come to read?

.

Leave a Reply

Your email address will not be published. Required fields are marked *