Follina : des documents Office comme porte d’entrée

La nouvelle vulnérabilité CVE-2022-30190, alias Follina, permet d’exploiter l’outil de diagnostic du support Microsoft via les fichiers MS Office.

Follina : des documents Office comme porte d’entrée

Des chercheurs ont découvert une autre vulnérabilité grave dans les produits de Microsoft. Elle pourrait permettre aux cybercriminels d’exécuter un code arbitraire. MITRE a indiqué qu’il s’agit de la vulnérabilité CVE-2022-30190 alors que les chercheurs lui ont donnée un nom assez poétique : Follina. Le plus surprenant est que ce bug n’a pas encore été corrigé. Pire encore, les cybercriminels exploitent activement cette faille. Alors que la mise à jour est en cours de développement, tous les utilisateurs et administrateurs de Windows doivent utiliser une solution temporaire.

Qu’est-ce que CVE-2022-30190 ? Quels produits sont concernés ?

La vulnérabilité CVE-2022-30190 se trouve dans l’outil de diagnostic du support Microsoft (MSDT) et n’a pas l’air si terrible que ça. Malheureusement, à cause de l’exécution de cet outil, cette faille peut être exploitée via un document Microsoft Office malveillant.

MSDT est une application qui recueille automatiquement les informations de diagnostic et les envoie à Microsoft quand Windows rencontre un problème. L’outil peut être utilisé par d’autres applications, Microsoft Word étant l’exemple le plus connu, via un protocole URL spécial MSDT. Si la vulnérabilité est bien exploitée, le cybercriminel peut exécuter un code arbitraire avec les privilèges de l’application qui appelle MSDT. Dans ce cas, il s’agit des droits de l’utilisateur qui a ouvert le fichier malveillant.

La vulnérabilité CVE-2022-30190 peut être exploitée sur tous les systèmes d’exploitation de Windows, qu’il s’agisse de la version de bureau ou du serveur.

Comment les cybercriminels exploitent CVE-2022-30190

Pour expliquer le fonctionnement de l’attaque, les chercheurs qui ont découvert la faille ont proposé le scénario suivant. Les cybercriminels créent un document MS Office malveillant et arrive à l’envoyer à la victime. La méthode la plus courante consiste à l’envoyer par e-mail comme pièce jointe, et à y ajouter un peu d’ingénierie sociale pour convaincre l’utilisateur et qu’il ouvre le fichier. Un objet comme  » Relecture urgente du contrat, signature demain matin  » peut faire l’affaire.

Le fichier infecté contient un fichier HTML avec un code JavaScript qui exécute un code malveillant dans la ligne de commande via MSDT. Si l’exploitation est réussie, les cybercriminels peuvent installer des programmes, visualiser, modifier et supprimer des données, ou créer de nouveaux comptes. En d’autres termes, ils peuvent faire tout ce qu’ils veulent grâce aux privilèges de la victime dans le système.

Comment vous protéger

Comme nous l’avons dit au début de cet article, cette faille n’a pas encore été corrigée. En attendant, Microsoft conseille de désactiver le protocole URL MSDT. Pour ce faire, vous devez exécuter une invite de commande (Command Prompt) en tant qu’administrateur et exécuter la commande <code>reg delete HKEY_CLASSES_ROOT\ms-msdt /f</code>. Avant de procéder, il convient de faire une copie de sauvegarde de la clé de registre avec le code <code>reg export HKEY_CLASSES_ROOT\ms-msdt filename</code>. Cela vous permettra de restaurer rapidement le registre grâce à la commande <code>reg import filename</code> dès que cette alternative ne sera plus nécessaire.

Évidemment, cette mesure est temporaire et vous devrez installer la mise à jour qui corrige la vulnérabilité Follina dès qu’elle est disponible.

Les méthodes d’exploitation décrites impliquent l’utilisation de messages avec des pièces jointes malveillantes et de techniques d’ingénierie sociale. Ainsi, nous vous conseillons de faire d’autant plus attention aux messages dont vous ne connaissez pas l’expéditeur, surtout s’il y a un document MS Office en pièce jointe. Quant aux entreprises, il convient de former régulièrement vos employés pour qu’ils connaissent les méthodes des cybercriminels.

De plus, tous les dispositifs ayant accès à Internet devraient disposés de solutions de sécurité robustes. Même si quelqu’un exploite une vulnérabilité inconnue, ces solutions peuvent empêcher l’exécution du code malveillant sur le dispositif de l’utilisateur.

Conseils