La faille en question, nom de code CVE-2022-30190 a une gravité classée 7,8 sur une échelle de 10. Les versions de Microsoft Office 2013, 2016, 2019 et 2019 – de même que les éditions Professional Plus – sont toutes visées. Microsoft explique avoir découvert qu’un des protocoles de la suite, baptisé MSDT est activement détourné par des pirates depuis le milieu du mois d’avril.
La faille, aussi appelée Follina, implique généralement un document Word vérolé. Les premiers exemples d’exploitation semblent être des tentatives de piratage visant des citoyens russes. L’un des exemples de fichiers mentionné par The Hacker News, est un document Word intitulé en Russe : “приглашение на интервью.doc”. Le fichier malicieux tente de se faire passer pour une demande d’interview pour le compte de Sputnik.
Comment se protéger de la dernière faille de la suite Microsoft Office
En cas d’ouverture, le fichier lance une série de commandes arbitraires dans l’invite de commandes. La machine est alors infectée par un malware. Le problème de cette faille c’est qu’elle repose sur un protocole, MSDT, que la suite ne permet pas de désactiver facilement. Microsoft explique :
“Une vulnérabilité d’exécution de code à distance existe lorsque MSDT est appelé via le protocole URL depuis une application source telle que Word. Un pirate qui exploite avec succès cette faille peut exécuter du code arbitraire avec les mêmes privilèges d’accès que ceux dont jouit l’application. Le pirate peut alors installer des programmes, consulter, changer ou supprimer des données, ou créer de nouveaux comptes dans le contexte autorisé par les droits de l’utilisateur sur la machine”.
Microsoft estime avoir réglé le problème – même si la firme n’a de fait pas émis le moindre patch ou correctif. En fait, Microsoft a essentiellement mis à jour la base de détection Microsoft Defender et propose en parallèle une marche à suivre pour bloquer totalement la fonctionnalité MSDT via le registre système. Pour le reste, les ingénieurs Microsoft estiment à ce stade que les mécanismes de sécurité déjà en place préviennent ce type d’exploit.
Cela étant si vous avez des données particulièrement sensibles sur votre machine et souhaitez éviter le moindre risque, il suffit de réaliser ces étapes :
- Lancez Cmd ou Powershell avec les droits administrateur
- Tapez : reg delete HKEY_CLASSES_ROOT\ms-msdt /f
- Appuyez sur la touche Entrée
Lire aussi – Microsoft corrige une faille critique importante sur Word
Notez qu’il est conseillé de faire au préalable une sauvegarde de la clé registre en question en tapant reg export HKEY_CLASSES_ROOT\ms-msdt suivi du nom de fichier désiré. Si vous souhaitez ultérieurement en arrière il vous suffira de taper reg import suivi du nom de fichier de la sauvegarde – toujours dans une fenêtre de commandes avec les droits administrateur.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Vous ne citez pas les crédits quand vous postez?
Et comment peut-on avoir ce document vérolé dans le but d’ouvrir la brèche dans Office et de s’emparer de la machine à distance ?
“Cela étant si vous avez des données particulièrement sensibles sur votre machine et souhaitez éviter le moindre risque, il suffit de réaliser ces étapes :” C’est non !