Microsoft révèle qu'une vulnérabilité a été découverte, permettant d'exécuter du code malveillant via son outil de diagnostic de support. De très nombreux systèmes Windows sont exposés.
Le vendredi 27 mai, un chercheur en cybersécurité, nao_sec, est tombé sur un document Word piégé mis en ligne par un utilisateur basé en Biélorussie grâce à la plateforme VirusTotal, qui analyse les fichiers suspects. Il a depuis été confirmé par Microsoft qui, quelques jours plus tard, l'a transformé en vulnérabilité référencée CVE-2022-30190, pour laquelle il n'existe pour le moment pas de correctif. Cette faille permet d'exécuter du code à distance via l'outil Microsoft Support Diagnostic Tool (msdt.exe), qui aide à diagnostiquer les problèmes de Windows, et ce même si les macros sont désactivées.
Un document Word piégé envoyé par e-mail
Alors comment cette vulnérabilité est-elle concrètement exploitée ? D'abord, le pirate, après avoir créé le document Word avec le code malveillant, l'envoie vers une adresse e-mail professionnelle. Pour inciter le destinataire à l'ouvrir, il use de différents biais d'ingénierie sociale. Une fois que le document Word piégé est ouvert, il permet à l'un des objets OLE (Object Linking and Embedding) présent dans ce dernier de télécharger du contenu situé, comme souvent, dans un serveur externe contrôlé par les pirates.
Notons que la technologie OLE est issue de Microsoft et permet d'ajouter de l'information d'une application à une autre, en se gardant la possibilité de la modifier dans l'application source. Il est par exemple possible d'ajouter un tableau Excel à un dessin.
Concernant le contenu téléchargé grâce au document Word ouvert, celui-ci exploite une vulnérabilité qui permet d'exécuter, à distance, du code malveillant via Microsoft Support Diagnostic Tool. Il utilise le lien externe de Word pour charger le HTML et utilise, ensuite, le schéma « ms-msdt », pour exécuter le code Powershell, encodé en base 64. Et nous le disions tout à l'heure, l'attaque marche aussi si les macros sont désactivées dans le fichier Word.
Pas de correctif publié, mais une possibilité de contournement
Cette vulnérabilité, une fois exploitée, peut fonctionner sur la plupart des systèmes de Microsoft, de Windows 7 pour systèmes 32 bits ou x64 à Windows 11 pour systèmes ARM64 et x64, en passant par de multiples versions de Windows 10, qui ont été listées par l'ANSSI.
Pour le moment, il n'existe pas de correctif. Toutefois, Microsoft propose des solutions de contournement, qui ne sont que provisoires. L'entreprise explique que si un utilisateur ouvre le document via une application Office, le mode Protected View ou Application Guard for Office est alors enclenché, empêchant la charge utile malveillante de s'exécuter. Mais certains chercheurs considèrent que cette vulnérabilité peut malgré tout être exploitée, à l'aide d'un document au format RTF.
Plusieurs autres vecteurs d'attaque peuvent être utilisés pour appeler abusivement l'exécutable msdt.exe, nous prévient l'ANSSI, qui évoque par exemple la commande wget, via Powershell.
Pour contourner l'exécution du binaire msdt.exe, Microsoft recommande de désactiver le protocole URL de MSDT, en utilisant la commande suivante :
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Pour y parvenir, il faut exécuter l'invite de commande en tant qu'administrateur.
Source : Blog Microsoft