Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Windows 10 pour systèmes 32 bits
- Windows 10 pour systèmes x64
- Windows 10 Version 1607 pour systèmes 32 bits
- Windows 10 Version 1607 pour systèmes x64
- Windows 10 Version 1809 pour systèmes 32 bits
- Windows 10 Version 1809 pour systèmes ARM64
- Windows 10 Version 1809 pour systèmes x64
- Windows 10 Version 20H2 pour systèmes 32 bits
- Windows 10 Version 20H2 pour systèmes ARM64
- Windows 10 Version 20H2 pour systèmes x64
- Windows 10 Version 21H1 pour systèmes 32 bits
- Windows 10 Version 21H1 pour systèmes ARM64
- Windows 10 Version 21H1 pour systèmes x64
- Windows 10 Version 21H2 pour systèmes 32 bits
- Windows 10 Version 21H2 pour systèmes ARM64
- Windows 10 Version 21H2 pour systèmes x64
- Windows 11 pour systèmes ARM64
- Windows 11 pour systèmes x64
- Windows 7 pour systèmes 32 bits Service Pack 1
- Windows 7 pour systèmes x64 Service Pack 1
- Windows 8.1 pour systèmes 32 bits
- Windows 8.1 pour systèmes x64
- Windows RT 8.1
- Windows Server 2008 pour systèmes 32 bits Service Pack 2
- Windows Server 2008 pour systèmes 32 bits Service Pack 2 (Server Core installation)
- Windows Server 2008 pour systèmes x64 Service Pack 2
- Windows Server 2008 pour systèmes x64 Service Pack 2 (Server Core installation)
- Windows Server 2008 R2 pour systèmes x64 Service Pack 1
- Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (Server Core installation)
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server 2022
- Windows Server 2022 (Server Core installation)
- Windows Server 2022 Azure Edition Core Hotpatch
- Windows Server, version 20H2 (Server Core Installation)
Résumé
[Mise à jour du 15 juin 2022] Le mardi 14 juin 2022, l'éditeur a publié des mises à jour permettant la correction de cette vulnérabilité.
Le 27 mai 2022, un chercheur a identifié un document Word piégé sur la plate-forme Virus Total. Lorsque ce document est ouvert, l'un des objets OLE (Object Linking and Embedding) présent dans celui-ci télécharge du contenu situé sur un serveur externe contrôlé par l'attaquant. Ce contenu exploite une vulnérabilité permettant d'exécuter du code malveillant via le binaire légitime* Microsoft Support Diagnostic Tool (MSDT)*, msdt.exe, sous la forme d'un script Powershell encodé en base 64. Il convient de noter que cette attaque fonctionne y compris lorsque les macros sont désactivées dans le document Office.
Le 30 mai 2022, Microsoft a publié un avis de sécurité (cf. section Documentation) dans lequel l'éditeur confirme la vulnérabilité, qui porte l'identifiant CVE-2022-30190, ainsi que les versions vulnérables du système d'exploitation Windows.
Dans un billet de blogue du même jour (cf. section Documentation), Microsoft indique que si le fichier est ouvert par une application Office, le mode Protected View ou Application Guard for Office est enclenché et empêche la charge utile de s'exécuter.
Toutefois, plusieurs chercheurs affirment que cette vulnérabilité peut être exploitée à l'aide d'un document au format RTF. Dans ce cas, la charge utile peut ainsi être récupérée et exécutée lorsque le document est prévisualisé (par exemple dans Windows Explorer) et donc sans qu'il ne soit ouvert par l'utilisateur.
Cette vulnérabilité semble être utilisée dans des attaques ciblées et Microsoft n'a pas annoncé de date de publication d'un correctif.
Le CERT-FR propose la règle Sigma suivante, encore expérimentale, pour tenter de détecter l'exploitation de la vulnérabilité CVE-2022-30190 (ne pas oublier de renommer le .txt en .yml) :
Télécharger la règle Sigma CVE-2022-30190
Plusieurs chercheurs indiquent que d'autres vecteurs d'attaque peuvent être utilisés pour appeler abusivement l'exécutable msdt.exe. Ceux-ci citent notamment l'utilisation de la commande wget disponible avec Powershell. Le CERT-FR propose donc une nouvelle règle Sigma qui cherche aussi à détecter l'utilisation de msdt.exe en dehors du contexte Microsoft Office (ne pas oublier de renommer le .txt en .yml).
Contournement provisoire
L'exécution du binaire msdt.exe par un document Office n'est pas une pratique courante, le CERT-FR recommande donc d'appliquer le contournement documenté par l'éditeur dans son billet de blogue du 30 mai 2022.
Microsoft propose de désactiver le protocole URL de MSDT en utilisant la commande suivante, à lancer dans une invite de commandes avec les droits administrateur, après avoir sauvegardé le registre :
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
La modification du registre est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible.
Solution
[Mise à jour du 15 juin 2022]
Le CERT-FR recommande fortement l'application du correctif publié par l'éditeur. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible, notamment afin de mesurer les effets de bord possibles, avant tout déploiement en production. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.
Documentation
- Billet de blogue Microsoft du 30 mai 2022 https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
- Bulletin de sécurité Microsoft CVE-2022-30190 du 30 mai 2022 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
- Référence CVE CVE-2022-30190 https://www.cve.org/CVERecord?id=CVE-2022-30190