Microsoft émet un avertissement d’exploitation RCE dans son outil de diagnostic Windows

Si vous avez déjà contacté directement le support Microsoft pour un problème avec votre système Windows ou Windows Server, vous avez peut-être été invité à utiliser l’outil de diagnostic du support Microsoft (MSDT). Vous pouvez l’ouvrir en tapant msdt dans Windows Run (Win + R), après quoi vous serez invité à entrer une clé d’accès fournie par un représentant du support. Une fois entré, vous pourrez exécuter des diagnostics et envoyer les résultats directement à Microsoft pour une analyse plus approfondie.

Cependant, Microsoft a maintenant émis un avertissement concernant une vulnérabilité d’exécution de code à distance (RCE) présente dans MSDT.

Le problème en question est suivi pour CVE-2022-30190 et a un niveau de gravité élevé. Bien que Microsoft ne soit pas entré dans les détails – probablement parce que la vulnérabilité n’a pas encore été corrigée – il a expliqué que RCE peut se produire lorsque MSDT est invoqué à l’aide du protocole URL à partir d’une application appelante telle que Microsoft Word.

Un attaquant pourra exécuter du code arbitraire pouvant afficher, supprimer ou modifier vos fichiers avec les privilèges de l’application appelante. Ainsi, par exemple, si MSDT est invoqué via Microsoft Word exécuté avec des droits d’administrateur, l’attaquant obtiendra les mêmes droits d’administrateur, ce qui n’est évidemment pas bon.

Pour l’instant, Microsoft recommande de désactiver MSDT avec les commandes suivantes, que vous pouvez exécuter à partir de l’invite de commande :

• Exécutez l’invite de commande en tant qu’administrateur
• Pour sauvegarder une clé de registre, exécutez la commande « reg export HKEY_CLASSES_ROOT\ms-msdt filename ».
• Exécutez la commande « reg delete HKEY_CLASSES_ROOT\ms-msdt /f »

Toutefois, si vous découvrez ultérieurement que vous préférez prendre des risques car MSDT est essentiel à votre flux de travail, vous pouvez inverser la solution en suivant le processus ci-dessous :

• Exécutez l’invite de commande en tant qu’administrateur.
• Pour sauvegarder une clé de registre, exécutez la commande « reg import filename ».

Actuellement, Microsoft travaille toujours sur un correctif. Il a été souligné que la vulnérabilité de sécurité est exploitée dans un environnement réel, il est donc important d’activer la protection basée sur le cloud et la soumission automatique d’échantillons via Microsoft Defender. Pendant ce temps, les clients Microsoft Defender Endpoint doivent également configurer des stratégies pour réduire la surface d’attaque des processus enfants des applications Office.