Vulnérabilité d’exécution de code à distance affectant « MSDT »

Origine: bjCSIRT

Numéro: 2022/ALERTE/024

Date de l’alerte: 27/06/2022

APERÇU :

La vulnérabilité libellée CVE-2022-30190 aussi nommée « Follina » est une faille d’exécution de code à distance affectant l’outil de diagnostic de support Windows (MSDT), lorsqu’il est invoqué à l’aide du schéma de protocole URI « ms-msdt : » depuis une application Microsoft Office telle que Microsoft Word.

DESCRIPTION :

Microsoft Support Diagnostic Tool (MSDT) est un service Windows qui permet au service support de Microsoft d’analyser les données de diagnostic et de résoudre les problèmes rencontrés par les utilisateurs.

La vulnérabilité CVE-2022-30190 est due à l’absence de validation coté serveur des autorisations des utilisateurs. L’exploitation de cette vulnérabilité s’opère par le lien externe de Word pour charger le code HTML et utilise ensuite le schéma ‘ms-msdt’ afin d’exécuter du code PowerShell.

L’exploitation réussie de cette faille permettrait à un attaquant d’installer des programmes, visualiser, modifier, supprimer des données, ou créer de nouveaux comptes dans le contexte autorisé par les droits utilisateurs.

La vulnérabilité CVE-2022-30190 peut être exploitée sur tous les systèmes d’exploitation de Windows, qu’il s’agisse de la version de bureau ou du serveur.

IMPACT :

  • Atteinte à la confidentialité et à l’intégrité des données ;
  • Prise de contrôle total de la session de l’utilisateur ;

SYSTEMES AFFECTÉS

Plusieurs versions de Microsoft Office seraient affectées dont :

MS Office 2016 et MS Office 2021

MESURES À PRENDRE :

Aucun correctif de Microsoft n’est disponible à la date de publication de ce bulletin. Toutefois Il est fortement recommandé de faire la mise à jour du système et d’appliquer le correctif de sécurité dès sa publication.

Dû à l’absence de correctifs de sécurité, ci-dessous une solution de contournement temporaire :

  • Désactivation du protocole URL MSDT

La désactivation du protocole URL MSDT empêche le lancement des dépanneurs sous forme de liens, y compris des liens dans tout le système d’exploitation. Les dépanneurs sont toujours accessibles à l’aide de l’application « Obtenir de l’aide » et dans les paramètres système en tant que dépanneurs supplémentaires. Suivez ces étapes pour désactiver :

  1. Exécutez l’invite de commande en tant qu’administrateur.
  2. Pour sauvegarder la clé de registre, exécutez la commande :

reg export HKEY_CLASSES_ROOT\ms-msdt filename

  1. Exécutez la commande :

reg delete HKEY_CLASSES_ROOT\ms-msdt /f

  • Comment annuler la solution de contournement
  1. Exécutez l’invite de commande en tant qu’administrateur.
  2. Pour restaurer la clé de registre, exécutez la commande :

reg import [nom du fichier registre sauvegardé]

REFERENCES :

  • https://thehackernews.com/2022/06/patch-tuesday-microsoft-issues-fix-for.html
  • https://www.kaspersky.fr/blog/follina-cve-2022-30190-msdt/18969/
  • https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
Partagez sur vos réseaux.