Hier, nous avons signalé l'émergence d'un nouveau zero-day affectant Microsoft Office et d'autres produits Microsoft, doublé Follina par le chercheur Kevin Beaumont. Le problème existe dans toutes les versions de Windows actuellement prises en charge, et peut être exploité via les versions de Microsoft Office 2013 au bureau 2019, Bureau 2021, Bureau 365, et Office ProPlus.
La vulnérabilité a été découverte par l'équipe de recherche nao_sec, suite à la découverte d'un document Word téléchargé sur VirusTotal à partir d'une adresse IP biélorusse. Les chercheurs ont publié une série de tweets détaillant leur découverte. La faille exploite le lien externe de Microsoft Word pour charger le code HTML, puis utilise le schéma 'ms-msdt' pour exécuter le code PowerShell.
La vulnérabilité Follina reçoit désormais un identifiant CVE
Microsoft vient de partager des techniques d'atténuation contre Follina, auquel est désormais attribué l'identifiant CVE-2022-30190. La vulnérabilité est un problème d'exécution de code à distance qui affecte l'outil de diagnostic de support Microsoft Windows (MSDT). Peu dit, le zero-day permet l'exécution de code dans une gamme de produits Microsoft, qui peut être exploité dans divers scénarios d'attaque. En outre, la vulnérabilité "brise la frontière de la désactivation des macros,” avec une détection des fournisseurs très médiocre.
Selon Microsoft blog nouvellement publié, CVE-2022-30190 est déclenché lorsque MSDT est appelé à l'aide du protocole URL à partir d'une application appelante:
Il existe une vulnérabilité d'exécution de code à distance lorsque MSDT est appelé à l'aide du protocole URL à partir d'une application appelante telle que Word. Un attaquant qui parviendrait à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges de l'application appelante. L'attaquant peut alors installer des programmes, vue, changement, ou supprimer des données, ou créer de nouveaux comptes dans le cadre permis par les droits de l'utilisateur.
Comment CVE-2022-30190 peut-il être atténué?
"La désactivation du protocole d'URL MSDT empêche le lancement des dépanneurs sous forme de liens, y compris des liens dans tout le système d'exploitation,» Microsoft a déclaré. Vous pouvez toujours accéder aux dépanneurs à l'aide de l'application Obtenir de l'aide, ainsi que dans les paramètres système. Les mesures à prendre pour atténuer la vulnérabilité sont les suivantes:
1.Exécutez l'invite de commande en tant qu'administrateur.
2.Pour sauvegarder la clé de registre, exécutez la commande "reg export HKEY_CLASSES_ROOTms-msdt filename"
3.Exécutez la commande "reg delete HKEY_CLASSES_ROOTms-msdt /f".
Nous mettrons à jour cet article lorsque de nouvelles informations sur CVE-2022-30190 apparaîtront.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: