{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Windows Server 2022","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2012","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 pour syst\u00e8mes x64","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 1809 pour syst\u00e8mes x64","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2019 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2019","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 11 pour syst\u00e8mes ARM64","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2012 R2","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 21H1 pour syst\u00e8mes ARM64","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2022 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 1607 pour syst\u00e8mes 32 bits","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 21H2 pour syst\u00e8mes ARM64","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2008 pour syst\u00e8mes x64 Service Pack 2","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 1809 pour syst\u00e8mes ARM64","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 1809 pour syst\u00e8mes 32 bits","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 20H2 pour syst\u00e8mes x64","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 21H1 pour syst\u00e8mes 32 bits","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2016 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows RT 8.1","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 21H1 pour syst\u00e8mes x64","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 7 pour syst\u00e8mes x64 Service Pack 1","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2008 pour syst\u00e8mes x64 Service Pack 2 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 20H2 pour syst\u00e8mes 32 bits","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2008 pour syst\u00e8mes 32 bits Service Pack 2 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 1607 pour syst\u00e8mes x64","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2022 Azure Edition Core Hotpatch","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2012 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 21H2 pour syst\u00e8mes 32 bits","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 21H2 pour syst\u00e8mes x64","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2008 pour syst\u00e8mes 32 bits Service Pack 2","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2008 R2 pour syst\u00e8mes x64 Service Pack 1","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 11 pour syst\u00e8mes x64","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 8.1 pour syst\u00e8mes x64","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2016","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 20H2 pour syst\u00e8mes ARM64","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 8.1 pour syst\u00e8mes 32 bits","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server, version 20H2 (Server Core Installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2008 R2 pour syst\u00e8mes x64 Service Pack 1 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2012 R2 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 pour syst\u00e8mes 32 bits","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 7 pour syst\u00e8mes 32 bits Service Pack 1","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":"","closed_at":"2022-09-16","content":"\n## Contournement provisoire\n\nL'ex\u00e9cution du binaire *msdt.exe* par un document Office n'est pas une\npratique courante, le CERT-FR recommande donc d'appliquer le\ncontournement document\u00e9 par l'\u00e9diteur dans son billet de blogue du 30\nmai 2022.\n\nMicrosoft propose de d\u00e9sactiver le protocole URL de MSDT en utilisant la\ncommande suivante, \u00e0 lancer dans une invite de commandes avec les droits\nadministrateur, apr\u00e8s avoir sauvegard\u00e9 le registre :\n\n>reg delete HKEY_CLASSES_ROOT\\ms-msdt /f\n\nLa modification du registre est une op\u00e9ration d\u00e9licate qui doit \u00eatre\nmen\u00e9e avec prudence. Il est notamment recommand\u00e9 d\u2019effectuer des tests\nautant que possible.\n\n\n## Solution\n\n**\\[Mise \u00e0 jour du 15 juin 2022\\]**\n\nLe CERT-FR recommande fortement l'application du correctif publi\u00e9 par\nl'\u00e9diteur. Se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour\nl'obtention des correctifs (cf. section Documentation).\n\n------------------------------------------------------------------------\n\nLa mise \u00e0\u00a0jour d'un produit ou d'un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommand\u00e9\nd'effectuer des tests autant que possible, notamment afin de mesurer les\neffets de bord possibles, avant tout d\u00e9ploiement en production. Des\ndispositions doivent \u00e9galement \u00eatre prises pour garantir la continuit\u00e9\nde service en cas de difficult\u00e9s lors de l'application des mises \u00e0 jour\ncomme des correctifs ou des changements de version.\n","cves":[{"name":"CVE-2022-30190","url":"https://www.cve.org/CVERecord?id=CVE-2022-30190"}],"links":[],"reference":"CERTFR-2022-ALE-005","revisions":[{"description":"Version initiale","revision_date":"2022-05-31T00:00:00.000000"},{"description":"Ajout d'une deuxi\u00e8me r\u00e8gle Sigma.","revision_date":"2022-06-01T00:00:00.000000"},{"description":"Correction d'un probl\u00e8me d'indentation dans la r\u00e8gle Sigma CVE-2022-30190_2.","revision_date":"2022-06-01T00:00:00.000000"},{"description":"Correctif propos\u00e9 par l'\u00e9diteur.","revision_date":"2022-06-15T00:00:00.000000"},{"description":"Cloture de l'alerte","revision_date":"2022-09-16T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"<strong>\\[Mise \u00e0 jour du 15 juin 2022\\] Le mardi 14 juin 2022, l'\u00e9diteur a\npubli\u00e9 des mises \u00e0 jour permettant la correction de cette\nvuln\u00e9rabilit\u00e9.\u00a0</strong>\n\nLe 27 mai 2022, un chercheur a identifi\u00e9 un document Word pi\u00e9g\u00e9 sur la\nplate-forme *Virus Total*. Lorsque ce document est ouvert, l'un des\nobjets *OLE (Object Linking and Embedding)* pr\u00e9sent dans celui-ci\nt\u00e9l\u00e9charge du contenu situ\u00e9 sur un serveur externe contr\u00f4l\u00e9 par\nl'attaquant. Ce contenu exploite une vuln\u00e9rabilit\u00e9 permettant d'ex\u00e9cuter\ndu code malveillant *via* le binaire l\u00e9gitime*\u00a0[Microsoft Support\nDiagnostic Tool\n(MSDT)](https://docs.microsoft.com/fr-fr/windows-server/administration/windows-commands/msdt)*,\n*msdt.exe*, sous la forme d'un script *Powershell* encod\u00e9 en base 64. Il\nconvient de noter que cette attaque fonctionne y compris lorsque les\nmacros sont d\u00e9sactiv\u00e9es dans le document Office.\n\nLe 30 mai 2022, Microsoft a publi\u00e9 un avis de s\u00e9curit\u00e9 (cf. section\nDocumentation) dans lequel l'\u00e9diteur confirme la vuln\u00e9rabilit\u00e9, qui\nporte l'identifiant CVE-2022-30190, ainsi que les versions vuln\u00e9rables\ndu syst\u00e8me d'exploitation Windows.\n\nDans un billet de blogue du m\u00eame jour (cf. section Documentation),\nMicrosoft indique que si le fichier est ouvert par une application\nOffice, le mode *Protected View* ou *Application Guard for Office* est\nenclench\u00e9 et emp\u00eache la charge utile de s'ex\u00e9cuter.\n\nToutefois, plusieurs chercheurs affirment que cette vuln\u00e9rabilit\u00e9 peut\n\u00eatre exploit\u00e9e \u00e0 l'aide d'un document au format RTF. Dans ce cas, la\ncharge\u00a0utile peut ainsi \u00eatre r\u00e9cup\u00e9r\u00e9e et ex\u00e9cut\u00e9e lorsque le document\nest pr\u00e9visualis\u00e9 (par exemple dans *Windows Explorer*) et donc sans\nqu'il ne soit ouvert par l'utilisateur.\n\nCette vuln\u00e9rabilit\u00e9 semble \u00eatre utilis\u00e9e dans des attaques cibl\u00e9es et\nMicrosoft n'a pas annonc\u00e9 de date de publication d'un correctif.\n\n\u00a0\n\nLe CERT-FR propose la r\u00e8gle Sigma suivante, encore exp\u00e9rimentale, pour\ntenter de d\u00e9tecter l'exploitation de la vuln\u00e9rabilit\u00e9 CVE-2022-30190 (ne\npas oublier de renommer le .txt en .yml) :\n\n\u00a0\n\n[<span\nstyle=\"display: block; text-align: center; padding: 5px 8px 5px 8px; background-color: #c4322c; width: 340px; height: 32px; margin: 0 auto; color: #ffffff;\"\ndarkreader-inline-bgcolor=\"\" darkreader-inline-color=\"\">T\u00e9l\u00e9charger la\nr\u00e8gle Sigma\nCVE-2022-30190</span>](/uploads/20220530_TLPWHITE_Sigma-CVE-2022-30190.txt)\n\n\u00a0\n\nPlusieurs chercheurs indiquent que d'autres vecteurs d'attaque peuvent\n\u00eatre utilis\u00e9s pour appeler abusivement l'ex\u00e9cutable *msdt.exe*. Ceux-ci\ncitent notamment l'utilisation de la commande *wget* disponible avec\n*Powershell*. Le CERT-FR propose donc une nouvelle r\u00e8gle Sigma qui\ncherche aussi \u00e0 d\u00e9tecter l'utilisation de *msdt.exe* en dehors du\ncontexte *Microsoft Office*\u00a0(ne pas oublier de renommer le .txt en\n.yml).\n\n\u00a0\n\n[<span\nstyle=\"display: block; text-align: center; padding: 5px 8px 5px 8px; background-color: #c4322c; width: 340px; height: 32px; margin: 0 auto; color: #ffffff;\"\ndarkreader-inline-bgcolor=\"\" darkreader-inline-color=\"\">T\u00e9l\u00e9charger la\nr\u00e8gle Sigma\nCVE-2022-30190_2</span>](/uploads/20220601_TLPWHITE_Sigma-CVE-2022-30190_2.txt)\n","title":"[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Microsoft Windows","vendor_advisories":[{"published_at":"2022-05-30","title":"Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2022-30190","url":"https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190"},{"published_at":"2022-05-30","title":"Billet de blogue Microsoft","url":"https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/"}]}