Microsoft a reconnu une vulnérabilité critique du jour zéro dans Windows affectant toutes les versions majeures, y compris Windows 11, Windows 10, Windows 8.1 et même Windows 7. La vulnérabilité, identifiée avec le tracker CVE-2022-30190 ou Follina, permet aux attaquants d’exécuter à distance malware sur Windows sans déclencher Windows Defender ou un autre logiciel de sécurité. Heureusement, Microsoft a partagé une solution de contournement officielle pour atténuer le risque. Dans cet article, nous avons détaillé les étapes pour protéger vos PC Windows 11/10 contre la dernière vulnérabilité zero-day.
Table des matières
Correction de la vulnérabilité MSDT Windows Zero-Day « Follina » (juin 2022)
Qu’est-ce que la vulnérabilité Follina MSDT Windows Zero-Day (CVE-2022-30190) ?
Avant d’aborder les étapes pour corriger la vulnérabilité, comprenons en quoi consiste l’exploit. Connu avec le code de suivi CVE-2022-30190, l’exploit zero-day est lié à l’outil de diagnostic de support Microsoft (MSDT). Avec cet exploit, les attaquants peuvent exécuter à distance des commandes PowerShell via MSDT lors de l’ouverture de documents Office malveillants.
« Une vulnérabilité d’exécution de code à distance existe lorsque MSDT est appelé à l’aide du protocole URL à partir d’une application appelante telle que Word. Un attaquant qui parviendrait à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges de l’application appelante. L’attaquant peut alors installer des programmes, visualiser, modifier ou supprimer des données, ou créer de nouveaux comptes dans le cadre permis par les droits de l’utilisateur », explique Microsoft.
Comme l’explique le chercheur Kevin Beaumont, l’attaque utilise la fonctionnalité de modèle distant de Word pour récupérer un fichier HTML à partir d’un serveur Web distant. Il utilise ensuite le schéma d’URI MSProtocol ms-msdt pour charger le code et exécuter les commandes PowerShell. En remarque, l’exploit a reçu le nom « Follina » parce que l’exemple de fichier fait référence à 0438, l’indicatif régional de Follina, en Italie.
À ce stade, vous vous demandez peut-être pourquoi la vue protégée de Microsoft n’empêchera pas le document d’ouvrir le lien. Eh bien, c’est parce que l’exécution pourrait se produire même au-delà de la portée de Protected View. Comme l’a souligné le chercheur John Hammond sur Twitter, le lien pourrait être exécuté directement à partir du volet de prévisualisation de l’Explorateur sous forme de fichier Rich Text Format (.rtf).
Selon le rapport d’ArsTechnica, les chercheurs du Shadow Chaser Group avaient porté la vulnérabilité à l’attention de Microsoft dès le 12 avril. Bien que Microsoft ait répondu une semaine plus tard, la société semble l’avoir rejetée car elle ne pouvait pas reproduire la même chose de son côté. Néanmoins, la vulnérabilité est désormais signalée comme un jour zéro et Microsoft recommande de désactiver le protocole d’URL MSDT comme solution de contournement pour protéger votre PC contre l’exploit.
Mon PC Windows est-il vulnérable à l’exploit Follina ?
Sur sa page de guide de mise à jour de sécurité, Microsoft a répertorié 41 versions de Windows vulnérables à la vulnérabilité Follina CVE-2022-30190. Il comprend les éditions Windows 7, Windows 8.1, Windows 10, Windows 11 et même Windows Server. Consultez la liste complète des versions concernées ci-dessous :
- Windows 10 version 1607 pour les systèmes 32 bits
- Windows 10 version 1607 pour les systèmes x64
- Windows 10 version 1809 pour les systèmes 32 bits
- Windows 10 Version 1809 pour les systèmes basés sur ARM64
- Windows 10 Version 1809 pour les systèmes x64
- Windows 10 version 20H2 pour les systèmes 32 bits
- Windows 10 Version 20H2 pour les systèmes basés sur ARM64
- Windows 10 Version 20H2 pour les systèmes x64
- Windows 10 version 21H1 pour les systèmes 32 bits
- Windows 10 Version 21H1 pour les systèmes basés sur ARM64
- Windows 10 Version 21H1 pour les systèmes x64
- Windows 10 version 21H2 pour les systèmes 32 bits
- Windows 10 Version 21H2 pour les systèmes basés sur ARM64
- Windows 10 Version 21H2 pour les systèmes x64
- Windows 10 pour les systèmes 32 bits
- Windows 10 pour les systèmes x64
- Windows 11 pour les systèmes basés sur ARM64
- Windows 11 pour les systèmes x64
- Windows 7 pour les systèmes 32 bits Service Pack 1
- Windows 7 pour les systèmes x64 Service Pack 1
- Windows 8.1 pour les systèmes 32 bits
- Windows 8.1 pour les systèmes x64
- Windows RT 8.1
- Windows Server 2008 R2 pour les systèmes x64 Service Pack 1
- Windows Server 2008 R2 pour les systèmes x64 Service Pack 1 (installation Server Core)
- Windows Server 2008 pour les systèmes 32 bits Service Pack 2
- Windows Server 2008 pour les systèmes 32 bits Service Pack 2 (installation Server Core)
- Windows Server 2008 pour les systèmes x64 Service Pack 2
- Windows Server 2008 pour les systèmes x64 Service Pack 2 (installation Server Core)
- Serveur Windows 2012
- Windows Server 2012 (installation du noyau du serveur)
- Windows Serveur 2012 R2
- Windows Server 2012 R2 (installation du noyau du serveur)
- Serveur Windows 2016
- Windows Server 2016 (installation du noyau du serveur)
- Serveur Windows 2019
- Windows Server 2019 (installation du noyau du serveur)
- Serveur Windows 2022
- Windows Server 2022 (installation du noyau du serveur)
- Correctif de base Windows Server 2022 Édition Azure
- Windows Server, version 20H2 (installation du noyau du serveur)
Désactiver le protocole URL MSDT pour protéger Windows contre la vulnérabilité Follina
1. Appuyez sur la touche Win de votre clavier et tapez « Cmd » ou « Invite de commandes ». Lorsque le résultat apparaît, choisissez « Exécuter en tant qu’administrateur » pour ouvrir une fenêtre d’invite de commande élevée.
2. Avant de modifier le registre, utilisez la commande ci-dessous pour effectuer une sauvegarde. De cette façon, vous pouvez choisir de restaurer le protocole une fois que Microsoft a déployé un correctif officiel. Ici, le chemin du fichier fait référence à l’emplacement où vous souhaitez enregistrer le fichier de sauvegarde .reg.
reg export HKEY_CLASSES_ROOTms-msdt <file_path.reg>
3. Vous pouvez maintenant exécuter la commande suivante pour désactiver le protocole URL MSDT. En cas de succès, vous verrez le texte « L’opération s’est terminée avec succès » dans la fenêtre d’invite de commande.
reg delete HKEY_CLASSES_ROOTms-msdt /f
4. Pour restaurer le protocole ultérieurement, vous devrez utiliser la sauvegarde du registre que vous avez effectuée à la deuxième étape. Exécutez la commande ci-dessous et vous aurez à nouveau accès au protocole URL MSDT.
reg import <file_path.reg>
Protégez votre PC Windows contre la vulnérabilité MSDT Windows Zero-Day
Ce sont donc les étapes que vous devez suivre pour désactiver le protocole URL MSDT sur votre PC Windows afin d’empêcher l’exploit Follina. Jusqu’à ce que Microsoft déploie un correctif de sécurité officiel pour toutes les versions de Windows, vous pouvez utiliser cette solution de contournement pratique pour rester protégé contre la vulnérabilité zero-day CVE-2022-30190 Windows Follina MSDT. En parlant de protection de votre PC contre les programmes malveillants, vous pouvez également envisager d’installer des outils de suppression de logiciels malveillants dédiés ou un logiciel antivirus pour rester à l’abri des autres virus.