Name: Tremplin Numérique
Price range: $$$

Selon Ordinateur qui bipe, il existe une vulnérabilité persistante dans Windows que Microsoft a récemment corrigée. Le 30 mai, Microsoft a suggéré des solutions de contournement pour résoudre le problème. Néanmoins, les mises à jour Windows 10 KB5014699 et Windows 11 KB5014697 résoudront automatiquement tout pour les utilisateurs, ce qui les rendra très urgentes pour tous les utilisateurs.

« La mise à jour de cette vulnérabilité se trouve dans les mises à jour Windows cumulatives de juin 2022″, déclare Microsoft. « Microsoft recommande fortement aux clients d’installer les mises à jour pour être entièrement protégés contre la vulnérabilité. Les clients dont les systèmes sont configurés pour recevoir des mises à jour automatiques n’ont pas besoin de prendre d’autres mesures. »

Bleeping Computer indique que la faille de sécurité appelée Follina suivie comme CVE-2022-30190 couvre les versions de Windows qui reçoivent toujours des mises à jour de sécurité, y compris Windows 7+ et Server 2008+. Il est exploité par des pirates pour prendre le contrôle des ordinateurs d’un utilisateur en exécutant des commandes PowerShell malveillantes via Microsoft Support Diagnostic Tool (MSDT), comme décrit par l’équipe de recherche indépendante sur la cybersécurité. nao_sec. Cela signifie que les attaques par exécution de code arbitraire (ACE) peuvent se produire simplement en prévisualisant ou en ouvrant un document Microsoft Word malveillant. Fait intéressant, chercheur en sécurité CrazymanArmée a informé l’équipe de sécurité de Microsoft du jour zéro en avril, mais la société a simplement renvoyé le rapport soumis, disant « ce n’est pas un problème lié à la sécurité ».

TA413 CN APT a repéré ITW exploitant le #Follina #0Day en utilisant des URL pour livrer des archives Zip qui contiennent des documents Word qui utilisent la technique. Les campagnes se font passer pour le « Women Empowerments Desk » de l’administration centrale tibétaine et utilisent le domaine tibet-gov.web[.]application https://t.co/4FA9Vzoqu4

Dans un rapport de la société de recherche en sécurité Proofpoint, un groupe lié au gouvernement chinois nommé Chinese TA413 ciblait les utilisateurs tibétains en leur envoyant des documents malveillants. « TA413 CN APT a repéré ITW exploitant le #Follina #0Day en utilisant des URL pour fournir des archives Zip contenant des documents Word qui utilisent la technique », écrit Proofpoint dans un tweet. « Les campagnes se font passer pour le ‘bureau d’autonomisation des femmes’ de l’administration centrale tibétaine et utilisent le domaine tibet-gov.web[.]application. »

Apparemment, ledit groupe n’est pas le seul à exploiter la vulnérabilité. D’autres mauvais acteurs liés à l’État et indépendants en profitent depuis un certain temps maintenant, y compris un groupe qui a déguisé un document en note d’augmentation de salaire afin d’hameçonner les agences gouvernementales américaines et européennes. D’autres incluent le TA570 Qbot affilié qui délivre le malware Qbot et les premières attaques qui ont été vues en utilisant menaces de sextorsion et des appâts comme Invitation à une interview de Sputnik Radio.

Une fois ouverts, les documents infectés envoyés permettront aux pirates de contrôler MDST et d’exécuter des commandes, conduisant à des installations de programmes non autorisées et à l’accès à des données informatiques que les pirates peuvent afficher, supprimer ou modifier. Les acteurs peuvent également créer de nouveaux comptes d’utilisateurs via l’ordinateur de l’utilisateur.