Informatique

Cette faille de Windows ouvre une porte dérobée aux pirates

Cette faille de Windows ouvre une porte dérobée aux pirates via Microsoft Word

Microsoft a détaillé une solution de contournement permettant aux administrateurs de protéger leurs réseaux d’une faille de type zero-day dans un outil Windows que les pirates informatiques ont exploité via des documents Word malveillants.

Ce week-end, des chercheurs en sécurité ont découvert un document Word malveillant qui a été uploadé sur le service de partage d’échantillons malveillants VirusTotal le 25 mai à partir d’une adresse IP en Biélorussie.

Macros activées

Le chercheur en sécurité Kevin Beaumont a découvert que le document malveillant – ou « maldoc » – était capable d’exécuter du code via l’outil légitime Microsoft Support Diagnostic Tool (msdt.exe), même si les macros sont désactivées. Le document Word malveillant appelle MSDT dans Windows via le protocole URL ‘ms-msdt’.

Office Protected View – un service qui empêche l’exécution de macros dans des documents provenant d’internet – fonctionne comme prévu. Toutefois, un code malveillant peut être exécuté si le document Word est converti au format Rich Text Format (RFT) puis exécuté, selon Kevin Beaumont.

Cette « faille zero-day permet l’exécution de code dans les produits Office » et ne tient pas compte des instructions de l’utilisateur de désactiver les macros, explique le chercheur. Au moment de sa découverte, Microsoft Defender n’avait pas de détection pour cette attaque, mais cela a changé depuis.

Des solutions de contournement en attendant le correctif

L’attaque par macros Word-RTF fonctionne sur les produits Office 2021, Office 2019, Office 016 et Office 2013 entièrement corrigés, selon Kevin Beaumont et d’autres chercheurs.

Microsoft a identifié cette faille sous le nom de CVE-2022-30190. S’il n’y a pas encore de correctif, le Microsoft Security Response Center (MSRC) a décrit la « vulnérabilité MSDT dans Windows » et communiqué des solutions de contournement détaillées, ainsi qu’une mise à jour de Defender avec des signatures pour l’attaque.

« Une vulnérabilité d’exécution de code à distance existe lorsque MSDT est appelé en utilisant le protocole URL depuis une application appelante telle que Word. Un attaquant qui réussit à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges de l’application appelante. L’attaquant peut alors installer des programmes, visualiser, modifier ou supprimer des données, ou créer de nouveaux comptes dans le contexte autorisé par les droits de l’utilisateur », indique le MSRC.

Une faille de gravité importante

Microsoft précise que la faille CVE-2022-30190 affecte MSDT sur toutes les versions de Windows et Windows Server. Sa gravité est « importante ».

Pour désactiver le protocole URL de MSD, voici les instructions de Microsoft :

  1. exécutez Command Prompt en tant qu’administrateur ;
  2. pour sauvegarder la clé de registre, exécutez la commande reg export HKEY_CLASSES_ROOTms-msdt filename ;
  3. exécutez la commande reg delete HKEY_CLASSES_ROOTms-msdt /f.

Microsoft a également fourni des instructions pour annuler la solution de contournement. L’entreprise recommande aux clients disposant de Microsoft Defender Antivirus d’activer la protection fournie par le cloud et la soumission automatique d’échantillons.

Les clients disposant de Microsoft Defender for Endpoint (pour les entreprises) peuvent activer la règle de réduction de la surface d’attaque BlockOfficeCreateProcessRule qui empêche les applications Office de créer des processus enfants.

Microsoft indique que son antivirus Defender « fournit des détections et des protections pour l’exploitation éventuelle de vulnérabilités […] en utilisant la version 1.367.719.0 ou une version plus récente ». Les signatures des fichiers malveillants sont les suivantes :

  • Trojan:Win32/Mesdetty.A (en anglais)
  • Trojan:Win32/Mesdetty.B (en anglais)
  • Behavior:Win32/MesdettyLaunch.A (Comportement : Win32/MesdettyLaunch.A)
  • Comportement:Win32/MesdettyLaunch.B
  • Comportement:Win32/MesdettyLaunch.C

Appliquer la solution de contournement

Le MSRC n’a pas abordé la question de l’attaque si le document est exécuté en RTF. Cependant, il note que « si l’application appelante est une application Microsoft Office, par défaut, Microsoft Office ouvre les documents provenant d’internet en vue protégée ou en Application Guard for Office, ce qui empêche l’attaque actuelle ».

Comme le décrit Xavier Mertens pour le SANS Internet Storm Center, l’ouverture du document Word malveillant affiche ce qui semble être un document vierge. Cependant, il contient une référence externe pointant vers une URL malveillante à partir de laquelle une charge utile PowerShell est récupérée à l’aide du protocole URL ms-msdt. Office traite automatiquement l’URL MSDT et exécute la charge utile Powershell.

Will Dormann, analyste des vulnérabilités au CERT/CC, indique sur Twitter que la faille est « très similaire à la faille MSHTML CVE-2021-40444 » de septembre. Etant donné que Microsoft n’a pas publié de correctif pour cette nouvelle faille, l’analyste recommande de désactiver le protocole MSDT.

Le CERT-FR a également publié une alerte concernant cette vulnérabilité, dans laquelle il recommande d’appliquer la solution de contournement préconisée par Microsoft. Le document fournit également une règle Sigma permettant de détecter l’exploitation de la vulnérabilité sur le système.

Source : ZDNet.com




Source link

Articles similaires

Bouton retour en haut de la page