Résumé
[Mise à jour du 15 juin 2022] Le mardi 14 juin 2022, l'éditeur a
publié des mises à jour permettant la correction de cette
vulnérabilité.
Le 27 mai 2022, un chercheur a identifié un document Word piégé sur la
plate-forme Virus Total. Lorsque ce document est ouvert, l'un des
objets OLE (Object Linking and Embedding) présent dans celui-ci
télécharge du contenu situé sur un serveur externe contrôlé par
l'attaquant. Ce contenu exploite une vulnérabilité permettant d'exécuter
du code malveillant via le binaire légitime* Microsoft Support
Diagnostic Tool
(MSDT)*,
msdt.exe, sous la forme d'un script Powershell encodé en base 64. Il
convient de noter que cette attaque fonctionne y compris lorsque les
macros sont désactivées dans le document Office.
Le 30 mai 2022, Microsoft a publié un avis de sécurité (cf. section
Documentation) dans lequel l'éditeur confirme la vulnérabilité, qui
porte l'identifiant CVE-2022-30190, ainsi que les versions vulnérables
du système d'exploitation Windows.
Dans un billet de blogue du même jour (cf. section Documentation),
Microsoft indique que si le fichier est ouvert par une application
Office, le mode Protected View ou Application Guard for Office est
enclenché et empêche la charge utile de s'exécuter.
Toutefois, plusieurs chercheurs affirment que cette vulnérabilité peut
être exploitée à l'aide d'un document au format RTF. Dans ce cas, la
charge utile peut ainsi être récupérée et exécutée lorsque le document
est prévisualisé (par exemple dans Windows Explorer) et donc sans
qu'il ne soit ouvert par l'utilisateur.
Cette vulnérabilité semble être utilisée dans des attaques ciblées et
Microsoft n'a pas annoncé de date de publication d'un correctif.
Le CERT-FR propose la règle Sigma suivante, encore expérimentale, pour
tenter de détecter l'exploitation de la vulnérabilité CVE-2022-30190 (ne
pas oublier de renommer le .txt en .yml) :
Télécharger la
règle Sigma
CVE-2022-30190
Plusieurs chercheurs indiquent que d'autres vecteurs d'attaque peuvent
être utilisés pour appeler abusivement l'exécutable msdt.exe. Ceux-ci
citent notamment l'utilisation de la commande wget disponible avec
Powershell. Le CERT-FR propose donc une nouvelle règle Sigma qui
cherche aussi à détecter l'utilisation de msdt.exe en dehors du
contexte Microsoft Office (ne pas oublier de renommer le .txt en
.yml).
Télécharger la
règle Sigma
CVE-2022-30190_2
Contournement provisoire
L'exécution du binaire msdt.exe par un document Office n'est pas une
pratique courante, le CERT-FR recommande donc d'appliquer le
contournement documenté par l'éditeur dans son billet de blogue du 30
mai 2022.
Microsoft propose de désactiver le protocole URL de MSDT en utilisant la
commande suivante, à lancer dans une invite de commandes avec les droits
administrateur, après avoir sauvegardé le registre :
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
La modification du registre est une opération délicate qui doit être
menée avec prudence. Il est notamment recommandé d’effectuer des tests
autant que possible.
Solution
[Mise à jour du 15 juin 2022]
Le CERT-FR recommande fortement l'application du correctif publié par
l'éditeur. Se référer au bulletin de sécurité de l'éditeur pour
l'obtention des correctifs (cf. section Documentation).
La mise à jour d'un produit ou d'un logiciel est une opération délicate
qui doit être menée avec prudence. Il est notamment recommandé
d'effectuer des tests autant que possible, notamment afin de mesurer les
effets de bord possibles, avant tout déploiement en production. Des
dispositions doivent également être prises pour garantir la continuité
de service en cas de difficultés lors de l'application des mises à jour
comme des correctifs ou des changements de version.