Remédiation | Follina – CVE-2022-30190

En attendant que Microsoft publie des correctifs pour les produits Office, vous pouvez prendre certaines mesures pour empêcher l’exploitation de cette vulnérabilité.

Détection BIOC

@sigma
detection:
    follina:
        Image|endswith: 'msdt.exe'
        CommandLine|contains|all:
            - 'ms-msdt:'
            - 'PCWDiagnostic'
            - 'IT_BrowseForFile'
            - 'IT_LaunchMethod'
    condition: follina

FIX #1

Désactivation de MSDT URL Protocole

La désactivation du protocole URL MSDT empêche le lancement l’assistant de dépannage sous forme de liens. Il est toujours possible d’accéder aux dépanneurs dans les paramètres. Il est recommandé de totalement désactiver l’assistant de dépannage.

Exécutez l’invite de commande en tant qu’administrateur.

  1. Désactivation de MSDT URL Protocole
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
  1. Désactivation de l’assistant de dépannage
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics /f /v EnableDiagnostics /d 0

Il est également possible de désactiver l’assistant de dépannage via GPO.

Group Policy Editor >> Computer Configuration >> Administrative Templates >> System >> Troubleshooting and Diagnostics >> Scripted Diagnostics. 
# Désactiver "Troubleshooting: Allow users to access and run Troubleshooting Wizards".

Liens utiles

Qu’est ce que msdt.exe

Microsoft CVE-2022-30190