Accueil > Alertes CERT-MC > AVIS CERTFR - 2022 - ALE - 005

AVIS CERTFR - 2022 - ALE - 005

Objet : Vulnérabilité dans Microsoft Windows

Référence : CERTFR-2022-ALE-005

Risque(s)

- Exécution de code arbitraire à distance

Systèmes affectés

- Windows 10 Version 1607 pour systèmes 32 bits
- Windows 10 Version 1607 pour systèmes x64
- Windows 10 Version 1809 pour systèmes 32 bits
- Windows 10 Version 1809 pour systèmes ARM64
- Windows 10 Version 1809 pour systèmes x64
- Windows 10 Version 20H2 pour systèmes 32 bits
- Windows 10 Version 20H2 pour systèmes ARM64
- Windows 10 Version 20H2 pour systèmes x64
- Windows 10 Version 21H1 pour systèmes 32 bits
- Windows 10 Version 21H1 pour systèmes ARM64
- Windows 10 Version 21H1 pour systèmes x64
- Windows 10 Version 21H2 pour systèmes 32 bits
- Windows 10 Version 21H2 pour systèmes ARM64
- Windows 10 Version 21H2 pour systèmes x64
- Windows 10 pour systèmes 32 bits
- Windows 10 pour systèmes x64
- Windows 11 pour systèmes ARM64
- Windows 11 pour systèmes x64
- Windows 7 pour systèmes 32 bits Service Pack 1
- Windows 7 pour systèmes x64 Service Pack 1
- Windows 8.1 pour systèmes 32 bits
- Windows 8.1 pour systèmes x64
- Windows RT 8.1
- Windows Server 2008 R2 pour systèmes x64 Service Pack 1
- Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (Server Core installation)
- Windows Server 2008 pour systèmes 32 bits Service Pack 2
- Windows Server 2008 pour systèmes 32 bits Service Pack 2 (Server Core installation)
- Windows Server 2008 pour systèmes x64 Service Pack 2
- Windows Server 2008 pour systèmes x64 Service Pack 2 (Server Core installation)
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server 2022
- Windows Server 2022 (Server Core installation)
- Windows Server 2022 Azure Edition Core Hotpatch
- Windows Server, version 20H2 (Server Core Installation)

Résumé

Le 27 mai 2022, un chercheur a identifié un document Word piégé sur la plate-forme Virus Total. Lorsque ce document est ouvert, l'un des objets OLE (Object Linking and Embedding) présent dans celui-ci télécharge du contenu situé sur un serveur externe contrôlé par l'attaquant. Ce contenu exploite une vulnérabilité permettant d'exécuter du code malveillant via le binaire légitime [Microsoft Support Diagnostic Tool (MSDT)](https://docs.microsoft.com/fr-fr/windows-server/administration/windows-commands/msdt), msdt.exe, sous la forme d'un script Powershell encodé en base 64. Il convient de noter que cette attaque fonctionne y compris lorsque les macros sont désactivées dans le document Office.  

Le 30 mai 2022, Microsoft a publié un avis de sécurité (cf. section Documentation) dans lequel l'éditeur confirme la vulnérabilité, qui porte l'identifiant CVE-2022-30190, ainsi que les versions vulnérables du système d'exploitation Windows.

Dans un billet de blogue du même jour (cf. section Documentation), Microsoft indique que si le fichier est ouvert par une application Office, le mode Protected View ou Application Guard for Office est enclenché et empêche la charge utile de s'exécuter.

Toutefois, plusieurs chercheurs affirment que cette vulnérabilité peut être exploitée à l'aide d'un document au format RTF. Dans ce cas, la charge utile peut ainsi être récupérée et exécutée lorsque le document est prévisualisé (par exemple dans Windows Explorer) et donc sans qu'il ne soit ouvert par l'utilisateur.

Cette vulnérabilité semble être utilisée dans des attaques ciblées et Microsoft n'a pas annoncé de date de publication d'un correctif.

Le CERT-FR propose la règle Sigma suivante, encore expérimentale, pour tenter de détecter l'exploitation de la vulnérabilité CVE-2022-30190 (ne pas oublier de renommer le .txt en .yml) :

[Télécharger la règle Sigma CVE-2022-30190](https://www.cert.ssi.gouv.fr/uploads/20220530_TLPWHITE_Sigma-CVE-2022-30190.txt)  

Contournement provisoire

L'exécution du binaire msdt.exe par un document Office n'est pas une pratique courante, le CERT-FR recommande donc d'appliquer le contournement documenté par l'éditeur dans son billet de blogue du 30 mai 2022.

Microsoft propose de désactiver le protocole URL de MSDT en utilisant la commande suivante, à lancer dans une invite de commandes avec les droits administrateur, après avoir sauvegardé le registre :

reg delete HKEY_CLASSES_ROOT\ms-msdt /f

La modification du registre est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible.

Documentation

- Bulletin de sécurité Microsoft CVE-2022-30190 du 30 mai 2022
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190  
- Billet de blogue Microsoft du 30 mai 2022 https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/  
- Référence CVE CVE-2022-30190
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-30190  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-005/  

 

AVIS CERTFR - 2022 - AVI - 1069

01 décembre 2022
actualite

Objet : Multiples vulnérabilités dans les produits IBMRéférence : CERTFR-2022-AVI-1069Risque(s) - Exécution de code arbitraire à distance - Injecti... Lire la suite[+]

AVIS CERTFR - 2022 - AVI - 1068

01 décembre 2022
actualite

Objet : Vulnérabilité dans Mozilla ThunderbirdRéférence : CERTFR-2022-AVI-1068Risque(s)- Contournement de la politique de sécuritéSystèmes affectés... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2022-ALE-005