Méfiez-vous d’une vulnérabilité dans Windows sans correctif

Microsoft alerte sur une nouvelle vulnérabilité 0day


Microsoft confirme l’existence d’une vulnérabilité de sécurité de type exécution de code à distance dans Microsoft Windows Support Diagnostic Tool (MSDT ; Msdt.exe) qui sert d’outil de dépannage pour des bugs dans Windows. Elle existe lorsque MSDT est appelé à l’aide du protocole URL à partir d’une application comme Word.

 » Un attaquant qui réussit à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges de l’application appelante. L’attaquant peut alors installer des programmes, visualiser, modifier ou supprimer des données, ou créer de nouveaux comptes dans le contexte autorisé par les droits de l’utilisateur « , écrit Microsoft.

La vulnérabilité CVE-2022-30190 concerne toutes les versions de Windows. Microsoft ne propose pas de correctif pour le moment, mais aiguille vers un contournement provisoire afin de désactiver le protocole URL de MSDT. La modification dans le registre (après sauvegarde préalable) est détaillée dans ce billet de blog.

Dans le même temps, Microsoft souligne que si un fichier spécialement conçu est ouvert par une application Office, le mode Protected View ou Application Guard for Office permettent d’éviter une attaque en empêchant l’exécution d’une charge utile.

Une vulnérabilité 0-day et 0-click alias Follina

Des chercheurs en sécurité avancent toutefois que la vulnérabilité est exploitable par l’entremise d’un document au format RTF. Le cas échéant, la charge utile peut être récupérée et exécutée dans le cadre de la prévisualisation du document, et par exemple dans l’Explorateur de fichiers sans une ouverture par l’utilisateur.

Le 27 mai, un document Word piégé pour l’exploitation de la vulnérabilité a été soumis et détecté sur la plateforme VirusTotal. Le CERT-FR écrit que lorsque ce document est ouvert, un des objets OLE (Object Linking and Embedding) présent dans le document télécharge du contenu sur un serveur externe contrôlé par l’attaquant.

 » Ce contenu exploite une vulnérabilité permettant d’exécuter du code malveillant via le binaire légitime MSDT, sous la forme d’un script Powershell encodé en base 64. Il convient de noter que cette attaque fonctionne y compris lorsque les macros sont désactivées dans le document Office. « 

Le chercheur en sécurité Kevin Beaumont note que le document Word piégé a pour origine une adresse IP en Biélorussie. Il fait allusion à une vulnérabilité 0day dans Office et/ou Windows. Elle est affublée du nom de Follina parce que le nom du document piégé soumis à VirusTotal fait référence à 0438 (05-2022-0438.doc) qui est le préfixe téléphonique pour cette commune italienne dans la province de Trévise en Vénétie.

D’après l’analyse de Kevin Beaumont, l’exploitation de la vulnérabilité remonte au mois d’avril dans des attaques contre des cibles en Russie.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.