mardi 31 mai 2022
Le 27 mai 2022, un chercheur a identifié un document Word piégé sur la plate-forme Virus Total. Lorsque ce document est ouvert, l’un des objets OLE (Object Linking and Embedding) présent dans celui-ci télécharge du contenu situé sur un serveur externe contrôlé par l’attaquant. Ce contenu exploite une vulnérabilité permettant d’exécuter du code malveillant via le binaire légitime Microsoft Support Diagnostic Tool (MSDT), msdt.exe, sous la forme d’un script Powershell encodé en base 64. Il convient de noter que cette attaque fonctionne y compris lorsque les macros sont désactivées dans le document Office.
Le 30 mai 2022, Microsoft a publié un avis de sécurité (cf. section Documentation) dans lequel l’éditeur confirme la vulnérabilité, qui porte l’identifiant CVE-2022-30190, ainsi que les versions vulnérables du système d’exploitation Windows.
Dans un billet de blogue du même jour (cf. section Documentation), Microsoft indique que si le fichier est ouvert par une application Office, le mode Protected View ou Application Guard for Office est enclenché et empêche la charge utile de s’exécuter.
Toutefois, plusieurs chercheurs affirment que cette vulnérabilité peut être exploitée à l’aide d’un document au format RTF. Dans ce cas, la charge utile peut ainsi être récupérée et exécutée lorsque le document est prévisualisé (par exemple dans Windows Explorer) et donc sans qu’il ne soit ouvert par l’utilisateur.
Cette vulnérabilité semble être utilisée dans des attaques ciblées et Microsoft n’a pas annoncé de date de publication d’un correctif.
Le CERT-FR propose la règle Sigma suivante, encore expérimentale, pour tenter de détecter l’exploitation de la vulnérabilité CVE-2022-30190 (ne pas oublier de renommer le .txt en .yml) :
New vulnerability CVE-2022-30190 aka Follina allows exploitation of Windows Support Diagnostic Tool via MS Office files.
The CVE-2022-30190 vulnerability is contained in the Microsoft Windows Support Diagnostic Tool (MSDT) which doesn’t sound like a big deal. Unfortunately, due to the implementation of this tool, the vulnerability can be exploited via a malicious office document.
…/…
How to stay safe
As mentioned at the beginning, there is no patch yet. To counteract, Microsoft recommends disabling the MSDT URL protocol. To do this, you need to run a command prompt with administrator rights and execute the command reg delete HKEY_CLASSES_ROOT\ms-msdt /f
. Before doing this, it would be useful to back up the registry by executing reg export HKEY_CLASSES_ROOT\ms-msdt filename
. This way you can quickly restore the registry with the reg import filename
command as soon as this workaround is no longer needed,
…/…
Plusieurs chercheurs indiquent que d’autres vecteurs d’attaque peuvent être utilisés pour appeler abusivement l’exécutable msdt.exe. Ceux-ci citent notamment l’utilisation de la commande wget disponible avec Powershell. Le CERT-FR propose donc une nouvelle règle Sigma qui cherche aussi à détecter l’utilisation de msdt.exe en dehors du contexte Microsoft Office (ne pas oublier de renommer le .txt en .yml) :
CONTOURNEMENT PROVISOIRE
L’exécution du binaire msdt.exe par un document Office n’est pas une pratique courante, le CERT-FR recommande donc d’appliquer le contournement documenté par l’éditeur dans son billet de blogue du 30 mai 2022.
Microsoft propose de désactiver le protocole URL de MSDT en utilisant la commande suivante, à lancer dans une invite de commandes avec les droits administrateur, après avoir sauvegardé le registre :
Le 27 mai 2022, un chercheur a identifié un document Word piégé sur la plate-forme Virus Total. Lorsque ce document est ouvert, l’un des objets OLE (Object Linking and Embedding) présent dans celui-ci télécharge du contenu situé sur un serveur externe contrôlé par l’attaquant. Ce contenu exploite une vulnérabilité permettant d’exécuter du code malveillant via le binaire légitime Microsoft Support Diagnostic Tool (MSDT), msdt.exe, sous la forme d’un script Powershell encodé en base 64. Il convient de noter que cette attaque fonctionne y compris lorsque les macros sont désactivées dans le document Office.
Le 30 mai 2022, Microsoft a publié un avis de sécurité (cf. section Documentation) dans lequel l’éditeur confirme la vulnérabilité, qui porte l’identifiant CVE-2022-30190, ainsi que les versions vulnérables du système d’exploitation Windows.
Dans un billet de blogue du même jour (cf. section Documentation), Microsoft indique que si le fichier est ouvert par une application Office, le mode Protected View ou Application Guard for Office est enclenché et empêche la charge utile de s’exécuter.
Toutefois, plusieurs chercheurs affirment que cette vulnérabilité peut être exploitée à l’aide d’un document au format RTF. Dans ce cas, la charge utile peut ainsi être récupérée et exécutée lorsque le document est prévisualisé (par exemple dans Windows Explorer) et donc sans qu’il ne soit ouvert par l’utilisateur.
Cette vulnérabilité semble être utilisée dans des attaques ciblées et Microsoft n’a pas annoncé de date de publication d’un correctif.
Le CERT-FR propose la règle Sigma suivante, encore expérimentale, pour tenter de détecter l’exploitation de la vulnérabilité CVE-2022-30190 (ne pas oublier de renommer le .txt en .yml) :
New vulnerability CVE-2022-30190 aka Follina allows exploitation of Windows Support Diagnostic Tool via MS Office files.
The CVE-2022-30190 vulnerability is contained in the Microsoft Windows Support Diagnostic Tool (MSDT) which doesn’t sound like a big deal. Unfortunately, due to the implementation of this tool, the vulnerability can be exploited via a malicious office document.
…/…
How to stay safe
As mentioned at the beginning, there is no patch yet. To counteract, Microsoft recommends disabling the MSDT URL protocol. To do this, you need to run a command prompt with administrator rights and execute the command reg delete HKEY_CLASSES_ROOT\ms-msdt /f
. Before doing this, it would be useful to back up the registry by executing reg export HKEY_CLASSES_ROOT\ms-msdt filename
. This way you can quickly restore the registry with the reg import filename
command as soon as this workaround is no longer needed,
…/…
Plusieurs chercheurs indiquent que d’autres vecteurs d’attaque peuvent être utilisés pour appeler abusivement l’exécutable msdt.exe. Ceux-ci citent notamment l’utilisation de la commande wget disponible avec Powershell. Le CERT-FR propose donc une nouvelle règle Sigma qui cherche aussi à détecter l’utilisation de msdt.exe en dehors du contexte Microsoft Office (ne pas oublier de renommer le .txt en .yml) :
CONTOURNEMENT PROVISOIRE
L’exécution du binaire msdt.exe par un document Office n’est pas une pratique courante, le CERT-FR recommande donc d’appliquer le contournement documenté par l’éditeur dans son billet de blogue du 30 mai 2022.
Microsoft propose de désactiver le protocole URL de MSDT en utilisant la commande suivante, à lancer dans une invite de commandes avec les droits administrateur, après avoir sauvegardé le registre :
Le 27 mai 2022, un chercheur a identifié un document Word piégé sur la plate-forme Virus Total. Lorsque ce document est ouvert, l’un des objets OLE (Object Linking and Embedding) présent dans celui-ci télécharge du contenu situé sur un serveur externe contrôlé par l’attaquant. Ce contenu exploite une vulnérabilité permettant d’exécuter du code malveillant via le binaire légitime Microsoft Support Diagnostic Tool (MSDT), msdt.exe, sous la forme d’un script Powershell encodé en base 64. Il convient de noter que cette attaque fonctionne y compris lorsque les macros sont désactivées dans le document Office.
Le 30 mai 2022, Microsoft a publié un avis de sécurité (cf. section Documentation) dans lequel l’éditeur confirme la vulnérabilité, qui porte l’identifiant CVE-2022-30190, ainsi que les versions vulnérables du système d’exploitation Windows.
Dans un billet de blogue du même jour (cf. section Documentation), Microsoft indique que si le fichier est ouvert par une application Office, le mode Protected View ou Application Guard for Office est enclenché et empêche la charge utile de s’exécuter.
Toutefois, plusieurs chercheurs affirment que cette vulnérabilité peut être exploitée à l’aide d’un document au format RTF. Dans ce cas, la charge utile peut ainsi être récupérée et exécutée lorsque le document est prévisualisé (par exemple dans Windows Explorer) et donc sans qu’il ne soit ouvert par l’utilisateur.
Cette vulnérabilité semble être utilisée dans des attaques ciblées et Microsoft n’a pas annoncé de date de publication d’un correctif.
Le CERT-FR propose la règle Sigma suivante, encore expérimentale, pour tenter de détecter l’exploitation de la vulnérabilité CVE-2022-30190 (ne pas oublier de renommer le .txt en .yml) :
New vulnerability CVE-2022-30190 aka Follina allows exploitation of Windows Support Diagnostic Tool via MS Office files.
The CVE-2022-30190 vulnerability is contained in the Microsoft Windows Support Diagnostic Tool (MSDT) which doesn’t sound like a big deal. Unfortunately, due to the implementation of this tool, the vulnerability can be exploited via a malicious office document.
…/…
How to stay safe
As mentioned at the beginning, there is no patch yet. To counteract, Microsoft recommends disabling the MSDT URL protocol. To do this, you need to run a command prompt with administrator rights and execute the command reg delete HKEY_CLASSES_ROOT\ms-msdt /f
. Before doing this, it would be useful to back up the registry by executing reg export HKEY_CLASSES_ROOT\ms-msdt filename
. This way you can quickly restore the registry with the reg import filename
command as soon as this workaround is no longer needed,
…/…
Plusieurs chercheurs indiquent que d’autres vecteurs d’attaque peuvent être utilisés pour appeler abusivement l’exécutable msdt.exe. Ceux-ci citent notamment l’utilisation de la commande wget disponible avec Powershell. Le CERT-FR propose donc une nouvelle règle Sigma qui cherche aussi à détecter l’utilisation de msdt.exe en dehors du contexte Microsoft Office (ne pas oublier de renommer le .txt en .yml) :
CONTOURNEMENT PROVISOIRE
L’exécution du binaire msdt.exe par un document Office n’est pas une pratique courante, le CERT-FR recommande donc d’appliquer le contournement documenté par l’éditeur dans son billet de blogue du 30 mai 2022.
Microsoft propose de désactiver le protocole URL de MSDT en utilisant la commande suivante, à lancer dans une invite de commandes avec les droits administrateur, après avoir sauvegardé le registre :