{"id":2588,"date":"2022-06-07T16:40:03","date_gmt":"2022-06-07T14:40:03","guid":{"rendered":"https:\/\/kalweit-its.de\/2022\/06\/vulnerabilite-follina-zero-day-cve-2022-30190\/"},"modified":"2022-10-20T17:57:32","modified_gmt":"2022-10-20T15:57:32","slug":"vulnerabilite-follina-zero-day-cve-2022-30190","status":"publish","type":"post","link":"https:\/\/kalweit-its.de\/fr\/vulnerabilite-follina-zero-day-cve-2022-30190\/","title":{"rendered":"Vuln\u00e9rabilit\u00e9 Follina zero-day (CVE-2022-30190)"},"content":{"rendered":"\n
\"\"<\/figure>\n\n

Le 27.05.2022, des chercheurs en s\u00e9curit\u00e9 du groupe ont averti <\/mark>\n nao_sec<\/mark>\n<\/a> <\/mark>ont signal\u00e9 une vuln\u00e9rabilit\u00e9 de l’outil de diagnostic de support Microsoft Windows (MSDT).<\/p>\n\n

Cette vuln\u00e9rabilit\u00e9, baptis\u00e9e \u00ab\u00a0Follina\u00a0\u00bb, permet \u00e0 un utilisateur d’acc\u00e9der \u00e0 un serveur Powershell. \n CVE-2022-30190<\/mark>\n<\/a>La vuln\u00e9rabilit\u00e9 de Follina permet \u00e0 un attaquant d’ex\u00e9cuter des commandes Powershell arbitraires et donc, par exemple, d’installer un ransomware ou d’espionner des donn\u00e9es sur les syst\u00e8mes cibl\u00e9s.<\/p>\n\n

La vuln\u00e9rabilit\u00e9 pr\u00e9sente donc un risque consid\u00e9rable pour la s\u00e9curit\u00e9 informatique de l’ensemble de l’organisation, car les syst\u00e8mes contr\u00f4l\u00e9s par un attaquant peuvent diffuser des logiciels malveillants au sein du r\u00e9seau de l’organisation.<\/p>\n\n

Le potentiel de danger particulier de cette vuln\u00e9rabilit\u00e9 r\u00e9side dans sa relative simplicit\u00e9. Apr\u00e8s avoir t\u00e9l\u00e9charg\u00e9 un document Office pr\u00e9par\u00e9 en cons\u00e9quence, le chargement de l’aper\u00e7u dans l’Explorateur Windows active le code malveillant. Le document ne doit donc pas \u00eatre ouvert par l’utilisateur, l’interaction de l’utilisateur n\u00e9cessaire \u00e0 l’ex\u00e9cution du code malveillant est minimale. Dans les milieux de la s\u00e9curit\u00e9, on parle donc d’un \u00ab\u00a0Zero Click Exploit\u00a0\u00bb en rapport avec \u00ab\u00a0Follina\u00a0\u00bb.<\/p>\n\n

L’exploit ne s’attaque pas \u00e0 l’impl\u00e9mentation notoirement vuln\u00e9rable des macros VBA, mais au protocole \u00ab\u00a0ms-msdt\u00a0\u00bb.<\/p>\n\n

Ce protocole est \u00e0 la base de la correction automatis\u00e9e des erreurs au sein de Windows et est donc activ\u00e9 par d\u00e9faut dans toutes les versions de Microsoft Windows \u00e0 partir de Windows 7, ainsi que dans les versions de Windows Server \u00e0 partir de Windows Server 2008.<\/p>\n\n

A l’origine, on pensait que \u00ab\u00a0Follina\u00a0\u00bb ne pouvait \u00eatre exploit\u00e9 qu’en relation avec certaines versions de Microsoft Office. <\/p>\n\n

Ces derniers jours, les indications selon lesquelles une exploitation de la faille est \u00e9galement possible ind\u00e9pendamment des applications Microsoft Office se sont toutefois multipli\u00e9es.<\/p>\n\n

S’appuyant sur l’\u00e9tude de l’exploit par les experts en s\u00e9curit\u00e9 <\/mark>\n John Hammond<\/mark>\n<\/a> <\/mark>et \n @KevTheHermit<\/mark>\n<\/a>Les chercheurs en s\u00e9curit\u00e9 de KALWEIT ITS ont pu v\u00e9rifier deux vecteurs d’attaque ind\u00e9pendants de MS Office.<\/p>\n\n

Selon les rapports, les tentatives d’attaque actuelles semblent toutefois miser en premier lieu sur les documents Office manipul\u00e9s comme mode de distribution primaire du code malveillant.<\/p>\n\n

Ainsi, le compte Twitter g\u00e9r\u00e9 par la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 proofpoint a annonc\u00e9 \n Threat Insight<\/mark>\n<\/a> <\/mark>le 03.06.2022, une campagne bas\u00e9e sur des e-mails visant les administrations (locales) europ\u00e9ennes et am\u00e9ricaines. Des informations non confirm\u00e9es font \u00e9galement \u00e9tat d’attaques contre les autorit\u00e9s ukrainiennes et d’une campagne dans la r\u00e9gion oc\u00e9anique.<\/p>\n\n

Le 31.05.2022, le BSI a r\u00e9agi en \u00e9mettant un \n Notification du deuxi\u00e8me niveau d’alerte le plus \u00e9lev\u00e9<\/mark>\n<\/a> \u00ab\u00a03 \/ Orange\u00a0\u00bb (\u00ab\u00a0La situation de menace informatique est critique pour les affaires. Perturbation massive du fonctionnement normal\u00a0\u00bb).<\/p>\n\n

Dans le \u00ab\u00a0Security Response Center\u00a0\u00bb de Microsoft (MSRC), le \n Degr\u00e9 de gravit\u00e9 de la vuln\u00e9rabilit\u00e9<\/mark>\n<\/a>) est \u00e9valu\u00e9 \u00e0 7,8 sur 10, et Microsoft indique \u00e9galement qu’il travaille \u00e0 une mise \u00e0 jour de s\u00e9curit\u00e9.<\/p>\n\n

Tant que cela n’est pas encore paru, le BSI et Microsoft s’accordent pour recommander de d\u00e9sactiver le gestionnaire de protocole MSDT-URL au moyen de cl\u00e9s de registre :<\/p>\n\n

Pour cela, il faut proc\u00e9der comme suit :<\/p>\n\n