Les experts ont découvert une campagne de phishing utilisant un exploit qui contourne un patch remédiant à une faille RCE dans Microsoft Office. Cet exploit permet aux attaquants de diffuser le malware Formbook.

Selon les chercheurs, des attaquants habiles contournent la faille CVE-2021-40444 qui affecte les composants MSHTML. Cela est possible car le correctif ne traitait pas entièrement le problème initial.

Dans une attaque récente, les attaquants envoient le document Word malveillant dans une archive RAR spécialement conçue. Le fichier RAR est chargé d'un script écrit dans Windows Script Host ainsi que d'un document Word. Lorsqu'il est ouvert, il communique avec un serveur distant hébergeant un code JavaScript malveillant qui utilise le document Word pour lancer le script WSH et exécute la commande PowerShell dans le fichier RAR pour obtenir la charge utile du logiciel malveillant Formbook à partir du site Web d'un attaquant.

Bien que Microsoft ait corrigé le problème de sécurité dans le cadre de ses mises à jour Patch Tuesday de septembre 2021, la faille est toujours exploitée dans de nombreuses attaques depuis que les détails concernant la faille ont été rendus publics.

Il est recommandé aux organisations de sensibiliser régulièrement leurs employés et de leur apprendre à identifier les e-mails de phishing. Les gens devraient se méfier des documents électroniques provenant d'une archive ou de formats inconnus.