Bulletin du CERT

MICROSOFT CVE-2022-30190

Publié le 15 juin 2022

Cette mise à jour du bulletin apporte quelques informations sur ses récentes exploitations, l’existence d’un correctif (Patch Tuesday juin 2022) et les KB (knowledge base de Microsoft / mise à jour de sécurité cumulative).

Signalée le 30 mai 2022 par l’entreprise Microsoft, la CVE-2022-30190 est une vulnérabilité activement exploitée qui affecte plusieurs systèmes d’exploitation et serveurs Windows. Cette CVE est aussi connue par son surnom « msdt follina ».

La vulnérabilité concerne l’outil de diagnostic du support Microsoft (MSDT), il s’agit d’un outil légitime qui collecte des informations du système pour les envoyer au service Support Microsoft. Ce service réalise une analyse des informations reçues afin de proposer une résolution d’un problème auquel fait face l’utilisateur.

Un document Word malveillant peut être réalisé par un attaquant qui dissimule dans celui-ci une charge utile. Lorsqu’un utilisateur ouvre le document après y avoir été incité, la charge utile s’active et lance un appel MSDT via le protocole URL. L’exploitation d’un défaut dans cette procédure permet à l’attaquant d’exécuter du code arbitraire sur le système de l’utilisateur sans avoir recours aux macros.

Le code est exécuté avec le même niveau de privilège que l’application Microsoft Office lors de l’ouverture du document forgée. L’exploitation de cette vulnérabilité peut permettre à l’attaquant d’installer de nouveaux programmes, de porter atteinte à la confidentialité et à l’intégrité des données, et de créer de nouveaux comptes utilisateurs.

Point important: la version « 0-click RTF version ».

Selon l’expertise ayant publié l’exploit, une version encore plus redoutable existe. Il est possible d’ajouter trois lignes de codes malveillantes dans le document Word et d’enregistrer celui-ci en document rtf. Cet enregistrement est considéré comme plus redoutable, car il permet l’activation de la charge utile sans ouvrir le document, un simple aperçu du document est suffisant pour réaliser l’exécution de code arbitraire.

La CVE-2022-30190 aurait récemment été exploitée lors de plusieurs cyberattaques à l’encontre du gouvernement ukrainien, à l’encontre de plusieurs agences du gouvernement des États-Unis et Européens, et lors d’une campagne de déploiement du logiciel malveillant Qbot. Selon Proofpoint, l’APT chinois TA413 exploiterait aussi cette vulnérabilité depuis début juin à l’encontre de la Diaspora tibétaine.

Le lien principal de Microsoft concernant cette vulnérabilité et les KB :
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190