La faille de sécurité de Microsoft Office activement exploitée n'a pas de correctif mais voici une solution de contournement.



Les menaces de logiciels malveillants et de virus sont pratiquement banales, voire quotidiennes pour certains utilisateurs de nos jours. Malheureusement pour de nombreux utilisateurs de l'écosystème Microsoft, l'utilisation des applications Office les plus populaires est un vecteur d'attaque de sécurité commun à de nombreux malfaiteurs de l'Internet.







À cet égard, le Security Response Center de Microsoft a publié des conseils pour aider à ajouter des couches préventives à une vulnérabilité ou erreur critique (CVE) récemment découverte. Spécifiquement étiquetée CVE-2022-30190 par Microsoft, la vulnérabilité n'utilise pas le précédent vecteur d'attaque vulnérable des macros. En fait, les macros en tant que vecteur d'attaque pour les logiciels malveillants ont été en grande partie corrigées dans de nombreuses versions récentes des applications Office.



Ce qui est évident maintenant, c'est que ce n'était pas le seul moyen d'exploiter les applications de productivité d'Office. Il est intéressant de noter que la nouvelle faille de sécurité est en fait liée à des vulnérabilités de Microsoft Office ou, plus précisément, de Microsoft Defender en conjonction avec Microsoft Office. Le Microsoft Defender Support Tool, ou MSDT, un sous-ensemble spécifique de fonctionnalités inclus dans Microsoft Defender, permet aux applications d'ouvrir une URL, connue sous le nom de protocole URL MSDT. Il s'avère que les concepteurs de logiciels malveillants et de virus peuvent en tirer parti et déclencher une exécution de code arbitraire.



L'exécution de code arbitraire, ou ACE, est une méthode par laquelle les auteurs de logiciels malveillants profitent des endroits exposés de la mémoire du système pour exécuter, dans la plupart des cas, du code au niveau du système. Ce code contient souvent des éléments tels que l'installation ou l'utilisation d'autres logiciels malveillants, la collecte de données, des enregistreurs de frappe et même des moyens de se copier, comme le font de nombreux virus. L'utilisateur de Twitter Will Dormann a même fourni une vidéo sur la manière d'exploiter cette situation.









Que pouvez-vous donc faire pour éviter l'infection ? C'est en fait assez simple. Le blog de Microsoft fournit les détails que nous allons également fournir ici.



La méthode la plus simple consiste à désactiver le protocole URL MSDT. Il suffit de supprimer la clé de registre dans le chemin HKEY_CLASSES_ROOTms-msdt. Bien entendu, vous devez toujours être extrêmement prudent lorsque vous modifiez votre registre et faire une sauvegarde au préalable.



Toute personne utilisant Microsoft Defender Antivirus peut également activer la protection fournie par le cloud et la soumission automatique d'échantillons. Cela devrait permettre à Defender de détecter ce malware, car les modèles associés font déjà partie des ressources de réduction des menaces fournies par le cloud.







Microsoft a également fourni des conseils aux administrateurs système qui utilisent Microsoft Defender Antivirus comme protection des points de terminaison. Il suffit à ces utilisateurs d'activer la règle de réduction de la surface d'attaque BlockOfficeCreateProcessRule. Cette règle empêche Office de créer des processus enfants sur MSDT.



Espérons que la plupart des utilisateurs sont informés suffisamment à l'avance pour éviter tout dommage grave, bien que cette vulnérabilité soit encore activement exploitée actuellement.



HOTHARDWARE