En attendant que Microsoft publie des correctifs pour les produits Office, vous pouvez prendre certaines mesures pour empêcher l’exploitation de cette vulnérabilité.
Détection BIOC
@sigma
detection:
follina:
Image|endswith: 'msdt.exe'
CommandLine|contains|all:
- 'ms-msdt:'
- 'PCWDiagnostic'
- 'IT_BrowseForFile'
- 'IT_LaunchMethod'
condition: follina
FIX #1
Désactivation de MSDT URL Protocole
La désactivation du protocole URL MSDT empêche le lancement l’assistant de dépannage sous forme de liens. Il est toujours possible d’accéder aux dépanneurs dans les paramètres. Il est recommandé de totalement désactiver l’assistant de dépannage.
Exécutez l’invite de commande en tant qu’administrateur.
- Désactivation de MSDT URL Protocole
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
- Désactivation de l’assistant de dépannage
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics /f /v EnableDiagnostics /d 0
Il est également possible de désactiver l’assistant de dépannage via GPO.
Group Policy Editor >> Computer Configuration >> Administrative Templates >> System >> Troubleshooting and Diagnostics >> Scripted Diagnostics.
# Désactiver "Troubleshooting: Allow users to access and run Troubleshooting Wizards".
Liens utiles
Interesting maldoc was submitted from Belarus. It uses Word’s external link to load the HTML and then uses the « ms-msdt » scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022