On n'arrête pas le progrès avec la CVE-2022-30190 : Possibilité d'infecter un PC via un fichier RTF (format simple de fichier de texte qui contient des balises de mise en page et ne dépend pas d'un logiciel spécifique) sans que le client ait besoin de l'ouvrir. La prévisualisation dans le gestionnaire de fichier avec Word est suffisante.
Les PC qui utilisent LibreOffice ne sont pas impactés, il faut avoir MS Office (L'attaque par macros Word-RTF fonctionne sur les produits Office 2021, Office 2019, Office 016 et Office 2013 entièrement corrigés).
La faille est dans le binaire légitime Microsoft Support Diagnostic Tool (MSDT), il est activement exploité et il n'y a pas encore de correctif.
Bulletin d'alerte du CERT-FR
Le 27 mai 2022, un chercheur a identifié un document Word piégé sur la plate-forme Virus Total. Lorsque ce document est ouvert, l'un des objets OLE (Object Linking and Embedding) présent dans celui-ci télécharge du contenu situé sur un serveur externe contrôlé par l'attaquant. Ce contenu exploite une vulnérabilité permettant d'exécuter du code malveillant via le binaire légitime Microsoft Support Diagnostic Tool (MSDT), msdt.exe, sous la forme d'un script Powershell encodé en base 64. Il convient de noter que cette attaque fonctionne y compris lorsque les macros sont désactivées dans le document Office.
Le 30 mai 2022, Microsoft a publié un avis de sécurité (cf. section Documentation) dans lequel l'éditeur confirme la vulnérabilité, qui porte l'identifiant CVE-2022-30190, ainsi que les versions vulnérables du système d'exploitation Windows.
Dans un billet de blogue du même jour (cf. section Documentation), Microsoft indique que si le fichier est ouvert par une application Office, le mode Protected View ou Application Guard for Office est enclenché et empêche la charge utile de s'exécuter.
Toutefois, plusieurs chercheurs affirment que cette vulnérabilité peut être exploitée à l'aide d'un document au format RTF. Dans ce cas, la charge utile peut ainsi être récupérée et exécutée lorsque le document est prévisualisé (par exemple dans Windows Explorer) et donc sans qu'il ne soit ouvert par l'utilisateur.
Cette vulnérabilité semble être utilisée dans des attaques ciblées et Microsoft n'a pas annoncé de date de publication d'un correctif.