Microsoft a publi\u00e9 lundi des conseils pour une faille de s\u00e9curit\u00e9 zero-day r\u00e9cemment d\u00e9couverte dans sa suite de productivit\u00e9 Office qui pourrait \u00eatre exploit\u00e9e pour r\u00e9aliser l’ex\u00e9cution de code sur les syst\u00e8mes concern\u00e9s.<\/p>\n
La faiblesse, maintenant assign\u00e9e \u00e0 l’identifiant CVE-2022-30190<\/a>, est not\u00e9 7,8 sur 10 pour la gravit\u00e9 sur le syst\u00e8me de notation des vuln\u00e9rabilit\u00e9s CVSS. Les versions de Microsoft Office Office 2013, Office 2016, Office 2019 et Office 2021, ainsi que les \u00e9ditions Professional Plus, sont concern\u00e9es. <\/p>\n “Pour aider \u00e0 prot\u00e9ger les clients, nous avons publi\u00e9 CVE-2022-30190 et des conseils suppl\u00e9mentaires ici<\/a>“, a d\u00e9clar\u00e9 un porte-parole de Microsoft \u00e0 The Hacker News dans un communiqu\u00e9 envoy\u00e9 par e-mail.<\/p>\n La Follina<\/a> La vuln\u00e9rabilit\u00e9, qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e \u00e0 la fin de la semaine derni\u00e8re, impliquait un exploit du monde r\u00e9el qui exploitait la lacune d’un document Word arm\u00e9 pour ex\u00e9cuter du code PowerShell arbitraire en utilisant le sch\u00e9ma d’URI “ms-msdt:”. L’\u00e9chantillon a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 sur VirusTotal depuis la Bi\u00e9lorussie.<\/p>\n Mais les premiers signes d’exploitation de la faille remontent au 12 avril 2022, lorsqu’un deuxi\u00e8me \u00e9chantillon a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 dans la base de donn\u00e9es des logiciels malveillants. Cet artefact aurait cibl\u00e9 un utilisateur en Russie avec un document Word malveillant (“\u043f\u0440\u0438\u0433\u043b\u0430\u0448\u0435\u043d\u0438\u0435 \u043d\u0430 \u0438\u043d\u0442\u0435\u0440\u0432\u044c\u044e.doc<\/a>“) qui s’est fait passer pour une invitation \u00e0 un entretien avec Sputnik Radio.<\/p>\n “Une vuln\u00e9rabilit\u00e9 d’ex\u00e9cution de code \u00e0 distance existe lorsque MSDT est appel\u00e9 \u00e0 l’aide du protocole URL \u00e0 partir d’une application appelante telle que Word”, a d\u00e9clar\u00e9 Microsoft dans un avis pour CVE-2022-30190.<\/p>\n “Un attaquant qui r\u00e9ussit \u00e0 exploiter cette vuln\u00e9rabilit\u00e9 peut ex\u00e9cuter du code arbitraire avec les privil\u00e8ges de l’application appelante. L’attaquant peut alors installer des programmes, afficher, modifier ou supprimer des donn\u00e9es, ou cr\u00e9er de nouveaux comptes dans le contexte autoris\u00e9 par les droits de l’utilisateur.”<\/p>\n Le g\u00e9ant de la technologie a cr\u00e9dit\u00e9 Crazyman, membre du Groupe de chasseurs d’ombres<\/a>pour avoir signal\u00e9 la faille le 12 avril, co\u00efncidant avec la d\u00e9couverte de l’exploit sauvage ciblant les utilisateurs russes, indiquant que la soci\u00e9t\u00e9 \u00e9tait d\u00e9j\u00e0 au courant de la vuln\u00e9rabilit\u00e9.<\/p>\n En effet, selon captures d’\u00e9cran<\/a> partag\u00e9 par le chercheur sur Twitter, Microsoft a cl\u00f4tur\u00e9 le rapport de soumission de vuln\u00e9rabilit\u00e9 le 21 avril 2022 en d\u00e9clarant que “le probl\u00e8me a \u00e9t\u00e9 r\u00e9solu”, tout en rejetant la faille comme “pas un probl\u00e8me de s\u00e9curit\u00e9” car elle n\u00e9cessite un mot de passe fourni par un technicien de support lorsque d\u00e9marrage de l’outil de diagnostic.<\/p>\n En plus de publier des r\u00e8gles de d\u00e9tection pour Microsoft Defender for Endpoint, la soci\u00e9t\u00e9 bas\u00e9e \u00e0 Redmond a propos\u00e9 des solutions de contournement dans ses conseils pour d\u00e9sactiver le protocole d’URL MSDT via une modification du registre Windows.<\/p>\n “Si l’application appelante est une application Microsoft Office, par d\u00e9faut, Microsoft Office ouvre les documents depuis Internet en mode prot\u00e9g\u00e9 ou Application Guard for Office, qui emp\u00eachent tous deux l’attaque en cours”, a d\u00e9clar\u00e9 Microsoft.<\/p>\n Ce n’est pas la premi\u00e8re fois que des sch\u00e9mas de protocole Microsoft Office tels que “ms-msdt\u00a0:” sont pass\u00e9s sous le scanner pour leur utilisation abusive potentielle. Plus t\u00f4t en janvier, la soci\u00e9t\u00e9 allemande de cybers\u00e9curit\u00e9 SySS divulgu\u00e9<\/a> comment il est possible d’ouvrir des fichiers directement via des URL sp\u00e9cialement con\u00e7ues telles que “ms-excel:ofv|u|https:\/\/192.168.1.10\/poc[.]xls.”<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Microsoft-met-en-garde-contre-les-ecumeurs-Web-imitant-Google.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1654017191_201_Microsoft-publie-des-solutions-de-contournement-pour-la-vulnerabilite-dOffice.jpg\")
<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n