<strong>\[Mise à jour du 15 juin 2022\] Le mardi 14 juin 2022, l'éditeur a publié des mises à jour permettant la correction de cette vulnérabilité. </strong> Le 27 mai 2022, un chercheur a identifié un document Word piégé sur la plate-forme *Virus Total*. Lorsque ce document est ouvert, l'un des objets *OLE (Object Linking and Embedding)* présent dans celui-ci télécharge du contenu situé sur un serveur externe contrôlé par l'attaquant. Ce contenu exploite une vulnérabilité permettant d'exécuter du code malveillant *via* le binaire légitime* [Microsoft Support Diagnostic Tool (MSDT)](https://docs.microsoft.com/fr-fr/windows-server/administration/windows-commands/msdt)*, *msdt.exe*, sous la forme d'un script *Powershell* encodé en base 64. Il convient de noter que cette attaque fonctionne y compris lorsque les macros sont désactivées dans le document Office. Le 30 mai 2022, Microsoft a publié un avis de sécurité (cf. section Documentation) dans lequel l'éditeur confirme la vulnérabilité, qui porte l'identifiant CVE-2022-30190, ainsi que les versions vulnérables du système d'exploitation Windows. Dans un billet de blogue du même jour (cf. section Documentation), Microsoft indique que si le fichier est ouvert par une application Office, le mode *Protected View* ou *Application Guard for Office* est enclenché et empêche la charge utile de s'exécuter. Toutefois, plusieurs chercheurs affirment que cette vulnérabilité peut être exploitée à l'aide d'un document au format RTF. Dans ce cas, la charge utile peut ainsi être récupérée et exécutée lorsque le document est prévisualisé (par exemple dans *Windows Explorer*) et donc sans qu'il ne soit ouvert par l'utilisateur. Cette vulnérabilité semble être utilisée dans des attaques ciblées et Microsoft n'a pas annoncé de date de publication d'un correctif. Le CERT-FR propose la règle Sigma suivante, encore expérimentale, pour tenter de détecter l'exploitation de la vulnérabilité CVE-2022-30190 (ne pas oublier de renommer le .txt en .yml) : [<span style="display: block; text-align: center; padding: 5px 8px 5px 8px; background-color: #c4322c; width: 340px; height: 32px; margin: 0 auto; color: #ffffff;" darkreader-inline-bgcolor="" darkreader-inline-color="">Télécharger la règle Sigma CVE-2022-30190</span>](/uploads/20220530_TLPWHITE_Sigma-CVE-2022-30190.txt) Plusieurs chercheurs indiquent que d'autres vecteurs d'attaque peuvent être utilisés pour appeler abusivement l'exécutable *msdt.exe*. Ceux-ci citent notamment l'utilisation de la commande *wget* disponible avec *Powershell*. Le CERT-FR propose donc une nouvelle règle Sigma qui cherche aussi à détecter l'utilisation de *msdt.exe* en dehors du contexte *Microsoft Office* (ne pas oublier de renommer le .txt en .yml). [<span style="display: block; text-align: center; padding: 5px 8px 5px 8px; background-color: #c4322c; width: 340px; height: 32px; margin: 0 auto; color: #ffffff;" darkreader-inline-bgcolor="" darkreader-inline-color="">Télécharger la règle Sigma CVE-2022-30190_2</span>](/uploads/20220601_TLPWHITE_Sigma-CVE-2022-30190_2.txt)
EPSS 93.50% · 99.8th percentile
| Vendor | Product | Versions |
|---|---|---|
| Microsoft | Windows |