🔴 Soldes d'été : jusqu'à - 50% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

Microsoft donne l'alerte sur une faille critique détectée sur Windows

02 juin 2022 à 10h50
5
Microsoft Word © monticello / Shutterstock.com
© monticello / Shutterstock.com

Microsoft révèle qu'une vulnérabilité a été découverte, permettant d'exécuter du code malveillant via son outil de diagnostic de support. De très nombreux systèmes Windows sont exposés.

Le vendredi 27 mai, un chercheur en cybersécurité, nao_sec, est tombé sur un document Word piégé mis en ligne par un utilisateur basé en Biélorussie grâce à la plateforme VirusTotal, qui analyse les fichiers suspects. Il a depuis été confirmé par Microsoft qui, quelques jours plus tard, l'a transformé en vulnérabilité référencée CVE-2022-30190, pour laquelle il n'existe pour le moment pas de correctif. Cette faille permet d'exécuter du code à distance via l'outil Microsoft Support Diagnostic Tool (msdt.exe), qui aide à diagnostiquer les problèmes de Windows, et ce même si les macros sont désactivées.

Un document Word piégé envoyé par e-mail

Alors comment cette vulnérabilité est-elle concrètement exploitée ? D'abord, le pirate, après avoir créé le document Word avec le code malveillant, l'envoie vers une adresse e-mail professionnelle. Pour inciter le destinataire à l'ouvrir, il use de différents biais d'ingénierie sociale. Une fois que le document Word piégé est ouvert, il permet à l'un des objets OLE (Object Linking and Embedding) présent dans ce dernier de télécharger du contenu situé, comme souvent, dans un serveur externe contrôlé par les pirates.

Notons que la technologie OLE est issue de Microsoft et permet d'ajouter de l'information d'une application à une autre, en se gardant la possibilité de la modifier dans l'application source. Il est par exemple possible d'ajouter un tableau Excel à un dessin.

Concernant le contenu téléchargé grâce au document Word ouvert, celui-ci exploite une vulnérabilité qui permet d'exécuter, à distance, du code malveillant via Microsoft Support Diagnostic Tool. Il utilise le lien externe de Word pour charger le HTML et utilise, ensuite, le schéma « ms-msdt », pour exécuter le code Powershell, encodé en base 64. Et nous le disions tout à l'heure, l'attaque marche aussi si les macros sont désactivées dans le fichier Word.

Pas de correctif publié, mais une possibilité de contournement

Cette vulnérabilité, une fois exploitée, peut fonctionner sur la plupart des systèmes de Microsoft, de Windows 7 pour systèmes 32 bits ou x64 à Windows 11 pour systèmes ARM64 et x64, en passant par de multiples versions de Windows 10, qui ont été listées par l'ANSSI.

Pour le moment, il n'existe pas de correctif. Toutefois, Microsoft propose des solutions de contournement, qui ne sont que provisoires. L'entreprise explique que si un utilisateur ouvre le document via une application Office, le mode Protected View ou Application Guard for Office est alors enclenché, empêchant la charge utile malveillante de s'exécuter. Mais certains chercheurs considèrent que cette vulnérabilité peut malgré tout être exploitée, à l'aide d'un document au format RTF.

Plusieurs autres vecteurs d'attaque peuvent être utilisés pour appeler abusivement l'exécutable msdt.exe, nous prévient l'ANSSI, qui évoque par exemple la commande wget, via Powershell.

Pour contourner l'exécution du binaire msdt.exe, Microsoft recommande de désactiver le protocole URL de MSDT, en utilisant la commande suivante :

reg delete HKEY_CLASSES_ROOT\ms-msdt /f

Pour y parvenir, il faut exécuter l'invite de commande en tant qu'administrateur.

Source : Blog Microsoft

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
6
Trentreznor
Mouai, donc ce n’est pas réellement une faille critique pour tout utilisateur un tant soit peu prudent, c’est la base de la base d’éviter d’ouvrir un fichier inconnu reçu par mail…
Popoulo
Y a déjà eu un article sur cette info et est à nouveau incomplet car vous faites l’impasse sur 1 chapitre du MSRC à savoir « Microsoft Defender Detections &amp; Protections ». (WD et Endpoint).<br /> MS ne recommande pas de désactiver le protocole. Il dit juste que c’est une solution qui peut être utilisée : « Disabling MSDT URL protocol prevents troubleshooters being launched as links including links throughout the operating system. ».
Peggy10Huitres
Microsoft donne l’alerte sur une faille critique détectée sur Windows<br /> Pas dit que le message passe entre Microsoft et Windows, encore une faille qui tardera à être corrigé …
Oldtimer
Ah je regrette le temps où nous avions des firewall comme zone alarme, outpost d’agnitium etc…<br /> Ils existent encore ces outils ?
Azarcal
La vraie faille est entre le clavier et le dos du fauteuil… .
Voir tous les messages sur le forum

Lectures liées

Piratage : finalement le service de gestion de flux Xstream-Codes est déclaré « légal »
CyberGhost : le meilleur VPN du marché fracasse les soldes d'été !
VPN pas cher : CyberGhost, NordVPN et Surfshark sont à prix vraiment MINI !
Google alerte sur un nouveau logiciel espion, votre smartphone est-il infecté ?
Safari : cette faille vieille de 5 ans permettait à des hackers d'infecter vos appareils Apple
Pendant les soldes, profitez d'un prix fou sur le VPN de CyberGhost
Le chiffrement du Cloud MEGA mis à mal par des chercheurs
Le spyware Pegasus a été utilisé dans au moins 5 pays de l'UE
Pour les soldes d'été, NordVPN baisse le prix de son VPN, mais pas que !
Le malware Android BRATA devient plus puissant : il peut maintenant lire vos SMS !
Haut de page