Actualités

Follina : mise à nue d’une vulnérabilité 0-day exploitant le MSDT depuis un document Word !

Le chercheur en sécurité Kevin Beaumont vient de lever le voile sur une vulnérabilité 0-day : œuvrant notamment au détour d’un document Word, la viralité exploite une faiblesse du Microsoft Support Diagnostic Tool (MSDT) pour permettre une exécution à distance du code ainsi qu’une exécution de privilèges.

 

 

Il existe une vulnérabilité d’exécution de code à distance lorsque MSDT est appelé à l’aide du protocole URL à partir d’une application appelante telle que Word. Un attaquant qui parviendrait à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges de l’application appelante. L’attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes dans le cadre autorisé par les droits de l’utilisateur“, indique Microsoft, dans son billet sécuritaire, le 30 Mai 2022. Assignée CVE-2022-30190 (le jour-même), le chercheur a reporté en premier lieu la vulnérabilité à Microsoft, depuis le 12 Avril 2022 ; en notant que cette faille, au-delà de l’exploit effectif (par un cyber-attaquant), a été démontrée comme potentiellement (théorie) viable, depuis le 1er Août 2020, par Benjamin Altpeter, dans le cadre d’une thèse universitaire à l’IAS (Institut pour la Sécurité des Applications).

 

Le premier problème est que Microsoft Word exécute le code via MSDT (un outil de support) même si les macros sont désactivées. La vue protégé entre en jeu, bien que si vous modifiez le formulaire de document en RTF, il s’exécute sans même ouvrir le document (via l’onglet Aperçu dans Explorer) et encore moins la vue protégé. Je l’appelle Follina parce que l’échantillon tacheté sur les références de fichiers 0438, qui est le code régional de Follina en Italie“, selon les investigations de Kevin Beaumont qui avait remonté la faille des suites d’une “invitation pour interview” où un utilisateur russe était ciblé. Après analyse du document, la viralité a été confirmé (VirusTotal) comme étant un exploit de Follina sur des thèmes d’actualités, à l’époque, en passant par des sujets diffamatoires ou accusateurs pour confondre la (future) victime. Certes, la vue protégée empêche la viralité mais cette dernière peut malheureusement s’instiller si le document est ouvert en mode Preview dans Explorer.

Pour l’heure et toujours selon l’échantillon analysé, l’exploit prend cours au détour d’un document RTF et concerne l’ensemble des versions Office 365, y compris les versions antérieures. En terme d’atténuations temporaires, en plus de la suppression de la clé-Registre du MS-MSDT (URI) préconisée par le chercheur, Microsoft explique la désactivation du protocole-même (par modus operandi) ce qui empêchera tout exploit potentiel par lien(s) : “exécutez l’invite de commande en tant qu’administrateur. Pour sauvegarder la clé de registre, exécutez la commande “reg export HKEY_CLASSES_ROOT\ms-msdt filename” Exécutez la commande “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”” ; théoriquement… A veiller !

 

 

 

Sources :




  • 100% J'apprécieVS
    0% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6