Les agresseurs continuent de développer de nouvelles méthodes d’infection des ordinateurs en vue d’activer leur ransomware (rançongiciel). L’expert en sécurité Erik Westhovens, actif chez Insight, révèle à présent qu’on a découvert une nouvelle faille ‘zeroday’ infectant Microsoft Office au moyen d’un code mal intentionné et contaminant le PC via une porte dérobée.
contaminant le PC via une porte dérobée.
La faille a été découverte par Kevin Beaumont et a été baptisée Follina. ‘Ce qui fait la sophistication de cette méthode, c’est qu’elle opère aussi, lorsque les macros dans Office sont désactivées’, explique Westhovens. ‘Windows Defender et d’autres produits XDR ne détectent pas la menace, ce qui fait que l’entreprise se retrouve rapidement impuissante.’
Création d’une nouvelle règle
Les personnes mal intentionnées peuvent abuser de la faille zeroday en rapatriant d’un serveur web un fichier HTML au moyen de la fonction de modèle externe de Microsoft Word. Il en résulte une utilisation du schéma ms-msdt MSProtocol URI en vue d’exécuter le code PowerShell.
Les entreprises qui utilisent Windows Defender et le Security Dashboard , peuvent créer ce qu’on appelle une ‘custom detection rule’ (sous Advanced Hunting). Cette règle ne stoppe pas la menace, mais peut la détecter, afin que l’utilisateur reçoive une notification.
En collaboration avec Dutch IT-Channel
