Une nouvelle vulnérabilité Microsoft Word zero-day pourrait donner aux pirates le contrôle total de votre ordinateur. Même si vous n’ouvrez pas un fichier infecté, la vulnérabilité peut être exploitée.
Malgré le fait que nous attendons toujours un correctif, Microsoft a déjà fourni une solution à cette vulnérabilité, donc si vous utilisez régulièrement MS Office, vous devriez le vérifier.
Méfiez-vous de la nouvelle vulnérabilité de Microsoft Word
La vulnérabilité Microsoft Word, surnommée Follina par l’un des chercheurs qui l’a initialement enquêtée – Kevin Beaumont, qui a également publié un long message à ce sujet – a jusqu’à présent été attribué à l’outil MSDT. Il a été découvert à l’origine le 27 mai via un tweet de nao_sec, bien que Microsoft en ait apparemment entendu parler pour la première fois dès avril. Bien qu’aucun correctif n’ait encore été publié, la solution de Microsoft consiste à désactiver l’outil de diagnostic de support Microsoft (MSDT), qui permet à l’exploit d’accéder à l’ordinateur attaqué.
Un maldoc intéressant a été soumis par la Biélorussie. Il utilise le lien externe de Word pour charger le code HTML, puis utilise le "ms-msdt" schéma pour exécuter le code PowerShell.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) 27 mai 2022
La vulnérabilité Microsoft Word est un échec d’exécution de code à distance dans MS Word qui affecte principalement les fichiers .rtf. La fonction Modèles de MS Word lui permet de charger et d’exécuter du code à partir de sources externes, que Follina utilise pour accéder à l’ordinateur, puis exécute une série de commandes qui ouvrent MSDT. Dans des circonstances normales, les utilisateurs de Windows peuvent utiliser Microsoft Diagnostic Tool for Windows (MSDT) pour résoudre divers problèmes sans problème. Malheureusement, comme cet outil donne également un accès à distance à votre ordinateur, il aide l’exploit à en prendre le contrôle.
L’exploit peut fonctionner même si vous n’ouvrez pas le fichier dans le cas des fichiers .rtf. Follina peut être lancé tant que vous le visualisez dans l’explorateur de fichiers. Une fois que l’attaquant a compromis votre ordinateur via MSDT, il a carte blanche pour en faire ce qu’il veut. Ils peuvent télécharger des logiciels nuisibles, divulguer des données sensibles, etc.
Beaumont a inclus plusieurs exemples de Follina dans le passé, y compris comment il a déjà été utilisé et découvert dans divers fichiers. L’extorsion financière n’est qu’une des nombreuses raisons pour lesquelles cet exploit est utilisé. Bien sûr, vous ne voulez pas cela sur votre PC.
Que faire jusqu’à ce que Microsoft publie un correctif ?
Il y a quelques choses que vous pouvez faire pour éviter la vulnérabilité de Microsoft Word jusqu’à ce que la société publie un correctif pour le corriger. La solution officielle, dans l’état actuel des choses, est la solution de contournement ; nous ne savons pas avec certitude ce qui viendra ensuite.
Pour commencer, vérifiez si votre version d’Office fait partie de celles affectées par la vulnérabilité de Microsoft Word. Le bogue a été découvert dans Office 2013, 2016, 2019, 2021, Office ProPlus et Office 365 jusqu’à présent. Il est impossible de savoir si les anciennes versions de Microsoft Office sont protégées ; il est donc important de prendre des précautions supplémentaires pour vous protéger.
Ce n’est pas une mauvaise idée d’éviter d’utiliser. doc, .docx et.rtf pour le moment si vous pouvez le faire. Envisagez de migrer vers des services basés sur le cloud comme Google Docs. N’acceptez et ne téléchargez que des fichiers provenant de sources identifiées à 100 %, ce qui est une bonne règle générale. Au passage, vous pouvez découvrir tout ce que vous devez savoir sur Microsoft Office 2021, en visitant notre article.
Enfin, suivez les instructions de Microsoft sur la désactivation de MSDT. Vous devrez ouvrir l’invite de commande et l’exécuter en tant qu’administrateur, puis saisir quelques déclarations. Si tout se passe bien, vous devriez être à l’abri de Follina. Cependant, gardez à l’esprit que la prudence est toujours de mise.
Ci-dessous, nous partageons les étapes nécessaires pour désactiver le protocole URL MSDT, fourni par Microsoft :
La désactivation du protocole URL MSDT empêche le lancement des dépanneurs sous forme de liens, y compris des liens dans tout le système d’exploitation. Les dépanneurs sont toujours accessibles à l’aide du Obtenir de l’aide et dans les paramètres du système en tant que dépanneurs autres ou supplémentaires. Suivez ces étapes pour désactiver :
- Courir Invite de commandes comme Administrateur.
- Pour sauvegarder la clé de registre, exécutez la commande “reg export HKEY_CLASSES_ROOTms-msdt nom de fichier“
- Exécutez la commande “reg delete HKEY_CLASSES_ROOTms-msdt /f”.
Comment annuler la solution de contournement
Courir Invite de commandes comme Administrateur.
Pour restaurer la clé de registre, exécutez la commande “reg import nom de fichier”
Microsoft n’est pas la seule victime de cyberattaques, par exemple, des pirates tentent de cibler des responsables européens pour obtenir des informations sur les réfugiés ukrainiens, les fournitures.
