Vulnérabilité d’exécution de code à distance affectant « MSDT »
Microsoft Support Diagnostic Tool (MSDT) est un service Windows qui permet au service support de Microsoft d’analyser les données de diagnostic et de résoudre les problèmes rencontrés par les utilisateurs. Une vulnérabilité libellée CVE-2022-30190 aussi nommée « Follina » a été découverte. Il s'agit d'une faille d’exécution de code à distance affectant l’outil de diagnostic de support Windows (MSDT), lorsqu’il est invoqué à l’aide du schéma de protocole URI « ms-msdt : » depuis une application Microsoft Office telle que Microsoft Word.
La vulnérabilité CVE-2022-30190 est due à l’absence de validation coté serveur des autorisations des utilisateurs. L’exploitation de cette vulnérabilité s’opère par le lien externe de Word pour charger le code HTML et utilise ensuite le schéma ‘ms-msdt’ afin d’exécuter du code PowerShell.
L’exploitation réussie de cette faille permettrait à un attaquant d’installer des programmes, visualiser, modifier, supprimer des données, ou créer de nouveaux comptes dans le contexte autorisé par les droits utilisateurs.
La vulnérabilité CVE-2022-30190 peut être exploitée sur tous les systèmes d’exploitation de Windows, qu’il s’agisse de la version de bureau ou du serveur.
IMPACTS DE SÉCURITÉ
- Atteinte à la confidentialité et à l’intégrité des données
- Prise de contrôle total de la session de l’utilisateur
SYSTÈMES AFFECTÉS
Plusieurs versions de Microsoft Office seraient affectées dont :
- MS Office 2016
- MS Office 2021
MESURES À PRENDRE
Aucun correctif de Microsoft n’est disponible à la date de publication de cette alerte. Toutefois il est fortement recommandé de faire la mise à jour du système et d’appliquer le correctif de sécurité dès sa publication.
Dû à l’absence de correctifs de sécurité, ci-dessous une solution de contournement temporaire :
- Désactivation du protocole URL MSDT
La désactivation du protocole URL MSDT empêche le lancement des dépanneurs sous forme de liens, y compris des liens dans tout le système d’exploitation. Les dépanneurs sont toujours accessibles à l’aide de l’application « Obtenir de l’aide » et dans les paramètres système en tant que dépanneurs supplémentaires. Suivez ces étapes pour désactiver :
- Exécutez l’invite de commande en tant qu’administrateur.
- Pour sauvegarder la clé de registre, exécutez la commande : reg export HKEY_CLASSES_ROOT\ms-msdt filename
- Exécutez la commande : reg delete HKEY_CLASSES_ROOT\ms-msdt /f
- Comment annuler la solution de contournement
- Exécutez l’invite de commande en tant qu’administrateur.
- Pour restaurer la clé de registre, exécutez la commande : reg import [nom du fichier registre sauvegardé]
REFERENCES : bjCSIRT