Windows est victime d’un problème de sécurité critique. Microsoft est à l’origine d’une alerte. Elle précise qu’une faille affecte l’outil de diagnostic du support Microsoft, également connu sous le nom de MSDT. Il est préchargé avec Windows.
Cette faille de sécurité critique est connue sous la vulnérabilité CVE-2022-30190. Elle permet à un pirate d’installer des applications ou de créer de nouveaux comptes. Microsoft ne nomme pas les versions de Windows concernées mais la faille existe dans MSDT. Du coup si le système d’exploitation est proposé avec cet outil, il devient potentiellement vulnérable.
MSDT est la contraction de Microsoft Support Diagnostic Tool.
La firme explique
Il existe une vulnérabilité d’exécution de code à distance lorsque MSDT est appelé à l’aide du protocole URL d’une application appelante telle que Word. Un attaquant qui parviendrait à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges de l’application appelante. L’attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes dans le contexte autorisé par les droits de l’utilisateur.
Windows et MSDT, une solution de contournement existe
En attendant un correctif une solution de contournement existe. Redmond précise que la démarche est simple. Il suffit de désactiver le protocole d’URL MSDT pour bloquer tout tentative d’exploitation de cette vulnérabilité.
La désactivation du protocole d’URL MSDT empêche le lancement d’utilitaires de résolution des problèmes en tant que liens, y compris des liens dans l’ensemble de l’OS. Les dépanneurs sont toujours accessibles à l’aide de l’application « Obtenir de l’aide » et dans les paramètres système.
Microsoft Defender, l’antivirus natif de Windows a été mis à jour pour détecter toute exploitation de cette vulnérabilité. Cette mise à jour est assurée par l’installation des signatures v1.367.719.0.
Le géant ajoute
Les clients disposant de Microsoft Defender Antivirus doivent activer la protection fournie par le cloud et la soumission automatique d’échantillons. Ces capacités utilisent l’intelligence artificielle et l’apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues.
Les clients de Microsoft Defender for Endpoint peuvent activer la règle de réduction de la surface d’attaque « BlockOfficeCreateProcessRule » qui empêche les applications Office de créer des processus enfants. La création de processus enfants malveillants est une stratégie de logiciels malveillants courante.
Et comment peut-on espérer être à la merci des pirates si la faille touche le diagnostic qui propose Windows que de lire l’article totalement putaclic ?
Contrairement à la mise à jour Defender que vous avez citée, détrompez-vous…
→ 1.367. 827.0
C’est bien joli de dire cela – en admettant que ce soit vrai -mais il serait judicieux, voire intelligent, d’expliquer comment appliquer les corrections que vous suggérez.
Ca veut dire quoi ça :
activer la protection fournie par le cloud et la soumission automatique d’échantillons ?
Et ça :
désactiver le protocole d’URL MSD ?
v1.367.719.0.
sa semble etre la mise a jour du 1er juin a vue de nez ….
bref putaclick
alerte une fois que tout est fixé …..
@jean
Il est fréquent qu’on ne connaisse les failles de sécurité qu’une fois qu’elles sont patchées, histoire que ça ne s’ébruite pas trop pour limiter les attaques, même si l’info doit déjà circuler sur le darkweb avant que Microsoft la patch. Si vous lisez bien l’article, Windows n’est pas patché mais l’antivirus de Windows permet de détecter l’attaque. L’antivirus de Windows est activé par défaut, mais il est aussi désactivé dès que vous installez un autre antivirus. Tous les Windows ne sont donc pas protégés contre cette attaque et il faudra probablement attendre les mises à jour du 14 juin pour que ce soit le cas.
@delorieux
C’est vrai que c’est dommage de ne pas expliquer comment faire ce qu’indique l’article. Tu trouveras plus d’info ici: https://korben.info/patch-follina.html