Microsoft publie une solution temporaire pour la vulnérabilité dans Office

Microsoft s'est exprimé au sujet de la vulnérabilité zero-day qui touche la suite Office, et plus particulièrement l'outil MSDT, qui est actuellement exploitée dans le cadre d'attaques informatiques. Faisons le point.

Pour rappel, des chercheurs en sécurité ont fait la découverte d'un document Word malveillant qui est capable d'exécuter du code malveillant, en l'occurrence du PowerShell, sur une machine Windows même si les macros sont désactivées dans Microsoft Office. Pour parvenir, les pirates s'appuie sur l'outil de diagnostic nommé MSDT (Microsoft Support Diagnostics Tool).

Alors que Kevin Beaumont a surnommé cette vulnérabilité "Follina", elle dispose désormais d'une référence CVE officielle : CVE-2022-30190 et d'un score CVSS 3.0 de 7,8 sur 10. D'après le bulletin de sécurité de Microsoft, l'exploitation est confirmée sur les toutes dernières versions de Microsoft Office. Par ailleurs, les différents retournent confirment que plusieurs versions de la suite Office sont affectées : Microsoft Office 2013, Office 2016, Office 2019 et Office 2021.

En fait, Microsoft semblait déjà au courant de l'existence de cette vulnérabilité car elle a créditée Crazyman, un membre du groupe Shadow Chaser, à l'origine de la découverte d'un exploit qui ciblait les utilisateurs russes et qui aurait reporté la vulnérabilité le 12 avril 2022.

Pour le moment, il n'existe toujours pas de correctif pour se protéger contre cette faille de sécurité, mais Microsoft a tout de même mis en ligne une solution temporaire.

La firme de Redmond propose de désactiver les appels d'URL via l'outil MSDT en modifiant le Registre Windows.

Tout d'abord, il est recommandé de sauvegarder la clé de registre (qu'il faudra ensuite supprimer) :

reg export HKEY_CLASSES_ROOT\ms-msdt sauvegarde.reg

Une fois que c'est fait, il faut supprimer la clé de Registre :

reg delete HKEY_CLASSES_ROOT\ms-msdt /f

Par la suite, le fichier .reg peut être réimporté pour annuler cette solution temporaire. Tous les détails techniques sont disponibles ici.

Microsoft confirme que le mode protégé de la suite Office est là pour protéger les utilisateurs contre l'exploitation de cette vulnérabilité. En tout cas, dans la configuration par défaut car les documents en provenance d'Internet sont ouverts en mode protégé. Tout dépend de la configuration éventuelle de la suite Office.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3872 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.