Des chercheurs ont découvert une autre vulnérabilité grave dans les produits de Microsoft. Elle pourrait permettre aux cybercriminels d’exécuter un code arbitraire. MITRE a indiqué qu’il s’agit de la vulnérabilité CVE-2022-30190 alors que les chercheurs lui ont donnée un nom assez poétique : Follina. Le plus surprenant est que ce bug n’a pas encore été corrigé. Pire encore, les cybercriminels exploitent activement cette faille. Alors que la mise à jour est en cours de développement, tous les utilisateurs et administrateurs de Windows doivent utiliser une solution temporaire.
Qu’est-ce que CVE-2022-30190 ? Quels produits sont concernés ?
La vulnérabilité CVE-2022-30190 se trouve dans l’outil de diagnostic du support Microsoft (MSDT) et n’a pas l’air si terrible que ça. Malheureusement, à cause de l’exécution de cet outil, cette faille peut être exploitée via un document Microsoft Office malveillant.
MSDT est une application qui recueille automatiquement les informations de diagnostic et les envoie à Microsoft quand Windows rencontre un problème. L’outil peut être utilisé par d’autres applications, Microsoft Word étant l’exemple le plus connu, via un protocole URL spécial MSDT. Si la vulnérabilité est bien exploitée, le cybercriminel peut exécuter un code arbitraire avec les privilèges de l’application qui appelle MSDT. Dans ce cas, il s’agit des droits de l’utilisateur qui a ouvert le fichier malveillant.
La vulnérabilité CVE-2022-30190 peut être exploitée sur tous les systèmes d’exploitation de Windows, qu’il s’agisse de la version de bureau ou du serveur.
Comment les cybercriminels exploitent CVE-2022-30190?
Pour expliquer le fonctionnement de l’attaque, les chercheurs qui ont découvert la faille ont proposé le scénario suivant. Les cybercriminels créent un document MS Office malveillant et arrive à l’envoyer à la victime. La méthode la plus courante consiste à l’envoyer par e-mail comme pièce jointe, et à y ajouter un peu d’ingénierie sociale pour convaincre l’utilisateur et qu’il ouvre le fichier. Un objet comme » Relecture urgente du contrat, signature demain matin » peut faire l’affaire.
Le fichier infecté contient un fichier HTML avec un code JavaScript qui exécute un code malveillant dans la ligne de commande via MSDT. Si l’exploitation est réussie, les cybercriminels peuvent installer des programmes, visualiser, modifier et supprimer des données, ou créer de nouveaux comptes. En d’autres termes, ils peuvent faire tout ce qu’ils veulent grâce aux privilèges de la victime dans le système.
