Une nouvelle vulnérabilité a récemment été découverte dans Microsoft Office. En effet, Microsoft Support Diagnostic Tool (MSDT) peut être détourné contre les organisations. L'exploit semble exister depuis environ un mois, avec diverses modifications quant à ce qui doit être exécuté sur le système ciblé.

Dirk Schrader, Resident CISO (EMEA) and VP of Security Research chez Netwrix, revient sur cette faille et comment la pallier :

« La vulnérabilité CVE-2022-30190 offre aux cybercriminels l’opportunité de détourner les environnements informatiques des organisations via les terminaux. Cet exploit est susceptible de fonctionner sur la plupart des installations Windows et MS Office.

Concrètement, le hacker crée un document MS Word contenant le code malveillant, l'envoie à une adresse email professionnelle, puis utilise des techniques d'ingénierie sociale courantes pour inciter le destinataire à l'ouvrir.

Cette technique est possible car Word propose une fonctionnalité, appelée "modèle distant", qui est utilisée ici à mauvais escient pour obtenir un fichier HTML à partir d'un emplacement distant. 

Une fois reçu, ce fichier HTML utilise une fonctionnalité de MSDT pour exécuter une charge utile intégrée, à l'aide d'un script Powershell ou d'autres outils disponibles sur la cible.

Or, les outils de sécurité intégrés de Windows ne détecteront probablement pas cette activité et les tests de renforcement standard ne la couvrent pas. Un mécanisme défensif intégré, comme Defender ou des restrictions courantes pour l'utilisation de macros, ne bloqueront pas non plus cette attaque.

Concernant les cibles, Microsoft répertorie 41 versions différentes de produits touchées : de Windows 7 à Windows 11 ; de Server 2008 à Server 2022 ; Office, Office 2016, Office 2021 et Office 2022 sont également concernés, quelle que soit la version de Windows sur laquelle ils s'exécutent. Des correctifs ont cependant été émis ces derniers jours.

Les premières découvertes ont indiqué que la suppression d'une clé de registre empêcherait cet exploit de fonctionner, mais toutes les technologies de cybersécurité ne couvrent pas ce paramètre, nécessaire au processus de durcissement.

Pour détecter les activités suspectes liées à ce 0-day, les équipes informatiques doivent surveiller de près tout changement au sein des systèmes de leur organisation, en particulier dans les dossiers système, afin de repérer des processus ou services malveillants initiés. 

Une autre mesure qui peut aider à prévenir cette attaque consiste à établir un ensemble de règles Windows qui verrouillent le système, ce qui empêche l'exploit d'exécuter la suite de l’attaque.

Dans les semaines à venir, les cybercriminels chercheront probablement des moyens de militariser la vulnérabilité. 

Ce 0-day dans le cadre d’une campagne de spear phishing pourrait ainsi être combiné avec des vecteurs d'attaque innovants, ainsi que des techniques d'escalade de privilèges, pour s'élever de la cible initiale. 

Les professionnels de l'informatique doivent donc s'assurer que les systèmes sont étroitement surveillés pour détecter les activités de compromission.

En outre, les groupes APT (Advanced Persistent Threat) et les cyber-escrocs devraient être à la recherche des vulnérabilités similaires, car elles facilitent l’intrusion dans des systèmes informatiques. »