{"id":18969,"date":"2022-06-03T12:04:30","date_gmt":"2022-06-03T10:04:30","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=18969"},"modified":"2022-06-03T12:04:30","modified_gmt":"2022-06-03T10:04:30","slug":"follina-cve-2022-30190-msdt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/follina-cve-2022-30190-msdt\/18969\/","title":{"rendered":"Follina : des documents Office comme porte d’entr\u00e9e"},"content":{"rendered":"

Des chercheurs ont d\u00e9couvert une autre vuln\u00e9rabilit\u00e9 grave dans les produits de Microsoft. Elle pourrait permettre aux cybercriminels d\u2019ex\u00e9cuter un code arbitraire. MITRE a indiqu\u00e9 qu\u2019il s\u2019agit de la vuln\u00e9rabilit\u00e9 CVE-2022-30190<\/a> alors que les chercheurs lui ont donn\u00e9e un nom assez po\u00e9tique\u00a0: Follina. Le plus surprenant est que ce bug n\u2019a pas encore \u00e9t\u00e9 corrig\u00e9. Pire encore, les cybercriminels exploitent activement cette faille. Alors que la mise \u00e0 jour est en cours de d\u00e9veloppement, tous les utilisateurs et administrateurs de Windows doivent utiliser une solution temporaire.<\/p>\n

Qu\u2019est-ce que CVE-2022-30190 ? Quels produits sont concern\u00e9s ?<\/h2>\n

La vuln\u00e9rabilit\u00e9 CVE-2022-30190 se trouve dans l\u2019outil de diagnostic du support\u00a0Microsoft\u00a0(MSDT) et n\u2019a pas l\u2019air si terrible que \u00e7a. Malheureusement, \u00e0 cause de l\u2019ex\u00e9cution de cet outil, cette faille peut \u00eatre exploit\u00e9e via un document Microsoft Office malveillant.<\/p>\n

MSDT est une application qui recueille automatiquement les informations de diagnostic et les envoie \u00e0 Microsoft quand Windows rencontre un probl\u00e8me. L\u2019outil peut \u00eatre utilis\u00e9 par d\u2019autres applications, Microsoft Word \u00e9tant l\u2019exemple le plus connu, via un protocole URL sp\u00e9cial MSDT. Si la vuln\u00e9rabilit\u00e9 est bien exploit\u00e9e, le cybercriminel peut ex\u00e9cuter un code arbitraire avec les privil\u00e8ges de l\u2019application qui appelle MSDT. Dans ce cas, il s\u2019agit des droits de l\u2019utilisateur qui a ouvert le fichier malveillant.<\/p>\n

La vuln\u00e9rabilit\u00e9 CVE-2022-30190 peut \u00eatre exploit\u00e9e sur tous les syst\u00e8mes d\u2019exploitation de Windows, qu\u2019il s\u2019agisse de la version de bureau ou du serveur.<\/p>\n

Comment les cybercriminels exploitent CVE-2022-30190<\/h2>\n

Pour expliquer le fonctionnement de l\u2019attaque, les chercheurs qui ont d\u00e9couvert la faille ont propos\u00e9 le sc\u00e9nario suivant. Les cybercriminels cr\u00e9ent un document MS Office malveillant et arrive \u00e0 l\u2019envoyer \u00e0 la victime. La m\u00e9thode la plus courante consiste \u00e0 l\u2019envoyer par e-mail comme pi\u00e8ce jointe, et \u00e0 y ajouter un peu d\u2019ing\u00e9nierie sociale pour convaincre l\u2019utilisateur et qu\u2019il ouvre le fichier. Un objet comme \u00a0\u00bb\u00a0Relecture urgente du contrat, signature demain matin\u00a0\u00a0\u00bb peut faire l\u2019affaire.<\/p>\n

Le fichier infect\u00e9 contient un fichier HTML avec un code JavaScript qui ex\u00e9cute un code malveillant dans la ligne de commande via MSDT. Si l\u2019exploitation est r\u00e9ussie, les cybercriminels peuvent installer des programmes, visualiser, modifier et supprimer des donn\u00e9es, ou cr\u00e9er de nouveaux comptes. En d\u2019autres termes, ils peuvent faire tout ce qu\u2019ils veulent gr\u00e2ce aux privil\u00e8ges de la victime dans le syst\u00e8me.<\/p>\n

Comment vous prot\u00e9ger<\/h2>\n

Comme nous l\u2019avons dit au d\u00e9but de cet article, cette faille n\u2019a pas encore \u00e9t\u00e9 corrig\u00e9e. En attendant, Microsoft conseille<\/a> de d\u00e9sactiver le protocole URL MSDT. Pour ce faire, vous devez ex\u00e9cuter une invite de commande (Command Prompt<\/em>) en tant qu\u2019administrateur et ex\u00e9cuter la commande <code>reg delete HKEY_CLASSES_ROOT\\ms-msdt \/f<\/code>. Avant de proc\u00e9der, il convient de faire une copie de sauvegarde de la cl\u00e9 de registre avec le code <code>reg export HKEY_CLASSES_ROOT\\ms-msdt filename<\/em><\/code>. Cela vous permettra de restaurer rapidement le registre gr\u00e2ce \u00e0 la commande <code>reg import filename<\/em><\/code> d\u00e8s que cette alternative ne sera plus n\u00e9cessaire.<\/p>\n

\u00c9videmment, cette mesure est temporaire et vous devrez installer la mise \u00e0 jour qui corrige la vuln\u00e9rabilit\u00e9 Follina d\u00e8s qu\u2019elle est disponible.<\/p>\n

Les m\u00e9thodes d\u2019exploitation d\u00e9crites impliquent l\u2019utilisation de messages avec des pi\u00e8ces jointes malveillantes et de techniques d\u2019ing\u00e9nierie sociale. Ainsi, nous vous conseillons de faire d\u2019autant plus attention aux messages dont vous ne connaissez pas l\u2019exp\u00e9diteur, surtout s\u2019il y a un document MS Office en pi\u00e8ce jointe. Quant aux entreprises, il convient de former r\u00e9guli\u00e8rement vos employ\u00e9s<\/a> pour qu\u2019ils connaissent les m\u00e9thodes des cybercriminels.<\/p>\n

De plus, tous les dispositifs ayant acc\u00e8s \u00e0 Internet devraient dispos\u00e9s de solutions de s\u00e9curit\u00e9 robustes<\/a>. M\u00eame si quelqu\u2019un exploite une vuln\u00e9rabilit\u00e9 inconnue, ces solutions peuvent emp\u00eacher l\u2019ex\u00e9cution du code malveillant sur le dispositif de l\u2019utilisateur.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

La nouvelle vuln\u00e9rabilit\u00e9 CVE-2022-30190, alias Follina, permet d\u2019exploiter l’outil de diagnostic du support Microsoft via les fichiers MS Office.<\/p>\n","protected":false},"author":2698,"featured_media":18971,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,686,3151],"tags":[3864,3854,322,23],"class_list":{"0":"post-18969","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-threats","10":"category-smb","11":"tag-0day","12":"tag-rce","13":"tag-vulnerabilites","14":"tag-windows"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/follina-cve-2022-30190-msdt\/18969\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/follina-cve-2022-30190-msdt\/24226\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/19707\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/9931\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/26554\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/follina-cve-2022-30190-msdt\/24512\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/follina-cve-2022-30190-msdt\/27225\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/follina-cve-2022-30190-msdt\/26749\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/follina-cve-2022-30190-msdt\/33255\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/follina-cve-2022-30190-msdt\/10743\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/44461\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/follina-cve-2022-30190-msdt\/19523\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/follina-cve-2022-30190-msdt\/28760\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/follina-cve-2022-30190-msdt\/28301\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/follina-cve-2022-30190-msdt\/25076\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/follina-cve-2022-30190-msdt\/30588\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/follina-cve-2022-30190-msdt\/30337\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/vulnerabilites\/","name":"Vuln\u00e9rabilit\u00e9s"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18969","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2698"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=18969"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18969\/revisions"}],"predecessor-version":[{"id":18973,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18969\/revisions\/18973"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/18971"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=18969"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=18969"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=18969"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}