Microsoft a détaillé une solution de contournement permettant aux administrateurs de protéger leurs réseaux d’une faille de type « zero-day » dans un outil Windows que les pirates informatiques ont exploité via des documents Word malveillants.
Ce week-end, des chercheurs en sécurité ont découvert un document Word malveillant qui a été téléchargé sur le service de partage d’échantillons malveillants VirusTotal le 25 mai à partir d’une adresse IP en Biélorussie.
Le chercheur en sécurité Kevin Beaumont a découvert que le document malveillant – ou « maldoc » – était capable d’exécuter du code via l’outil légitime Microsoft Support Diagnostic Tool (msdt.exe), même si les macros sont désactivées. Le document Word malveillant appelle MSDT dans Windows via le protocole URL ‘ms-msdt’.
Office Protected View – une fonction qui empêche l’exécution de macros dans des documents provenant d’Internet – fonctionne comme prévu. Toutefois, un code malveillant peut être exécuté si le document Word est converti au format Rich Text Format (RFT) puis exécuté, selon Beaumont.
Il a décrit le bug comme une « faille zero day permettant l’exécution de code dans les produits Office », qui ne tient pas compte des instructions de l’utilisateur pour désactiver les macros. Au moment de sa découverte, Microsoft Defender n’avait pas de détection pour cette attaque, mais cela a changé depuis.
L’attaque par macros Word-RTF a fonctionné sur les produits Office 2021, Office 2019, Office 2016 et Office 2013 entièrement corrigés, selon Beaumont et d’autres chercheurs.
Microsoft a attribué à ce bug l’identifiant CVE-2022-30190. La société n’a pas encore publié de correctif, mais le Microsoft Security Response Center (MSRC) a donné sa description de la « vulnérabilité MSDT dans Windows » et des solutions de contournement détaillées, ainsi qu’une mise à jour de Defender avec des signatures pour l’attaque.
« Une vulnérabilité d’exécution de code à distance existe lorsque MSDT est appelé en utilisant le protocole URL depuis une application appelante telle que Word. Un attaquant qui réussit à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges de l’application appelante. L’attaquant peut alors installer des programmes, visualiser, modifier ou supprimer des données, ou créer de nouveaux comptes dans le contexte autorisé par les droits de l’utilisateur », MSRC a déclaré.
L’entrée de Microsoft pour CVE-2022-30190 indique qu’il affecte MSDT sur toutes les versions de Windows et Windows Server.
Microsoft a classé CVE-2022-30190 comme une faille de gravité « importante » et a fourni les instructions suivantes pour désactiver le protocole URL de MSDT :
- Exécutez Command Prompt en tant que Administrateur.
- Pour sauvegarder la clé de registre, exécutez la commande « reg export HKEY_CLASSES_ROOT\ms-msdt filename« .
-
Exécutez la commande « reg delete HKEY_CLASSES_ROOT\ms-msdt /f ».
Microsoft a également fourni des instructions pour annuler la solution de contournement. Il recommande aux clients disposant de Microsoft Defender Antivirus d’activer la protection fournie par le cloud et la soumission automatique d’échantillons.
Les clients disposant de Microsoft Defender for Endpoint (pour les entreprises) peuvent activer la règle de réduction de la surface d’attaque « BlockOfficeCreateProcessRule » qui empêche les applications Office de créer des processus enfants.
Microsoft indique que son antivirus Defender « fournit des détections et des protections pour l’exploitation éventuelle de vulnérabilités … en utilisant la version 1.367.719.0 ou une version plus récente ». Les signatures des fichiers malveillants sont les suivantes :
-
Trojan:Win32/Mesdetty.A (en anglais) -
Trojan:Win32/Mesdetty.B (en anglais) -
Behavior:Win32/MesdettyLaunch.A (Comportement : Win32/MesdettyLaunch.A) -
Comportement:Win32/MesdettyLaunch.B -
Comportement:Win32/MesdettyLaunch.C
Le MSRC n’a pas abordé la question de l’attaque si le document est exécuté en RTF. Cependant, il note : « Si l’application appelante est une application Microsoft Office, par défaut, Microsoft Office ouvre les documents provenant d’Internet en vue protégée ou en Application Guard for Office, ce qui empêche l’attaque actuelle. »
Comme le décrit Xavier Mertens pour le SANS Internet Storm Center, l’ouverture du document Word malveillant affiche ce qui semble être un document vierge. Cependant, il contient une référence externe pointant vers une URL malveillante à partir de laquelle une charge utile PowerShell est récupérée à l’aide du protocole URL ms-msdt. Office traite automatiquement l’URL MSDT et exécute la charge utile Powershell.
Will Dormann, analyste des vulnérabilités au CERT/CC, a noté sur Twitter que la faille était « très similaire à la faille MSHTML CVE-2021-40444 » de septembre. Étant donné que Microsoft n’a pas publié de correctif pour cette nouvelle faille, M. Dormann recommande de désactiver le protocole MSDT.
Le CERTFR a également publié une alerte concernant cette vulnérabilité, dans laquelle il recommand d’appliquer la solution de contournement préconisée par Microsoft. Le document fournit egalement une règle Sigma permettant de detecter l’exploitation de la vulnérabilité sur le système.
Source : « ZDNet.com »