Microsoft s'est exprimé au sujet de la vulnérabilité zero-day qui touche la suite Office, et plus particulièrement l'outil MSDT, qui est actuellement exploitée dans le cadre d'attaques informatiques. Faisons le point.

Pour rappel, des chercheurs en sécurité ont fait la découverte d'un document Word malveillant qui est capable d'exécuter du code malveillant, en l'occurrence du PowerShell, sur une machine Windows même si les macros sont désactivées dans Microsoft Office. Pour parvenir, les pirates s'appuie sur l'outil de diagnostic nommé MSDT (Microsoft Support Diagnostics Tool).

Alors que Kevin Beaumont a surnommé cette vulnérabilité "Follina", elle dispose désormais d'une référence CVE officielle : CVE-2022-30190 et d'un score CVSS 3.0 de 7,8 sur 10. D'après le bulletin de sécurité de Microsoft, l'exploitation est confirmée sur les toutes dernières versions de Microsoft Office. Par ailleurs, les différents retournent confirment que plusieurs versions de la suite Office sont affectées : Microsoft Office 2013, Office 2016, Office 2019 et Office 2021.

En fait, Microsoft semblait déjà au courant de l'existence de cette vulnérabilité car elle a créditée Crazyman, un membre du groupe Shadow Chaser, à l'origine de la découverte d'un exploit qui ciblait les utilisateurs russes et qui aurait reporté la vulnérabilité le 12 avril 2022.

Pour le moment, il n'existe toujours pas de correctif pour se protéger contre cette faille de sécurité, mais Microsoft a tout de même mis en ligne une solution temporaire.

La firme de Redmond propose de désactiver les appels d'URL via l'outil MSDT en modifiant le Registre Windows.

Tout d'abord, il est recommandé de sauvegarder la clé de registre (qu'il faudra ensuite supprimer) :

reg export HKEY_CLASSES_ROOT\ms-msdt sauvegarde.reg

Une fois que c'est fait, il faut supprimer la clé de Registre :

reg delete HKEY_CLASSES_ROOT\ms-msdt /f

Par la suite, le fichier .reg peut être réimporté pour annuler cette solution temporaire. Tous les détails techniques sont disponibles ici.

Microsoft confirme que le mode protégé de la suite Office est là pour protéger les utilisateurs contre l'exploitation de cette vulnérabilité. En tout cas, dans la configuration par défaut car les documents en provenance d'Internet sont ouverts en mode protégé. Tout dépend de la configuration éventuelle de la suite Office.

Source

The post Microsoft publie une solution temporaire pour la vulnérabilité dans Office first appeared on IT-Connect.