nao_sec, un chercheur en cybersécurité est tombé sur un document Word piégé qui a été mis en ligne par un utilisateur basé en Biélorussie. Peu de temps après, Microsoft a référencé la vulnérabilité sous le code CVE-2022-30190 et a précisé que pour le moment il n’existe pas encore de correctif. Cette faille permet d’exécuter du code à distance via l’outil Microsoft Support Diagnostic Tool (msdt.exe), qui aide à diagnostiquer les problèmes de Windows, et ce même si les macros sont désactivées.
Une fois que le document Word est ouvert, un des objets OLE présent dans le fichier va télécharger du contenu situé sur un serveur externe. Cette vulnérabilité fonctionne à partir Windows 7.
Il n’existe pas encore de correctif officiel, mais des contournements provisoires sont possibles. Si le document est ouvert par une application Office, le mode Protected View ou Application Guard for Office est alors enclenché et il empêche alors le code de s’exécuter. Mais si le format est en RTF, le piège est toujours actif.
En attendant le correctif définitif, vous pouvez lancer les commandes suivantes en administrateur afin de stopper l’outil Microsoft Support Diagnostic Tool.
reg export HKEY_CLASSES_ROOT\ms-msdt filename -> pour sauvegarder la clé (mettez le nom que vous voulez à la place de filename)
reg delete HKEY_CLASSES_ROOT\ms-msdt /f -> pour corriger la vulnérabilité
reg import filename -> pour restaurer la clé une fois qu’un correctif Windows aura été déployéPlus de détails chez Microsoft sur cette page dédiée.