5/5 - (8 votes)

Une faille Zero Day dans Microsoft Office.

Découverte d’une vulnérabilité CVE-2022-30190 d’exécution de code à distance de Microsoft Windows Support Diagnostic Tool (MSDT). Il existe une vulnérabilité d’exécution de code à distance lorsque MSDT est appelé à l’aide du protocole URL à partir d’une application appelante telle que Word. Un attaquant qui parviendrait à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges de l’application appelante. L’attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes dans le cadre autorisé par les droits de l’utilisateur. (Sources)


Microsoft word est un logiciel de traitement de texte publié par Microsoft. La version la plus récente est Word 2019. Sa première version a été distribuée en 1983 sous le nom de Multi-Tool Word pour le système d'exploitation Xenix qui était une version du système Unix à la fin des années 1970.

Attention ! Ce malware dans Microsoft Office peut exécuter du code, même sans macros. Une faille zero-day a été détectée par plusieurs chercheurs en sécurité et permet à des attaquants d’exécuter du code à distance en utilisant un document Microsoft Office. Cette vulnérabilité, surnommée Follina, est particulièrement critique, car elle est exploitable sans que les macros soient activées. (Sources)


Dans le domaine de la sécurité informatique, une vulnérabilité Zero-Day (en français : Jour zéro) est une vulnérabilité informatique n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif connu. L'existence d'une telle faille sur un produit implique qu'aucune protection n'existe, qu'elle soit palliative ou définitive. La terminologie Zero Day ne qualifie pas la gravité de la faille : comme toute vulnérabilité, sa gravité dépend de l'importance des dégâts pouvant être occasionnés, et de l'existence d'un exploit, c'est-à-dire d'une technique exploitant cette faille afin de conduire des actions indésirables sur le produit concerné.
Les failles Zero-Day, souvent nommées "exploits" ne sont généralement pas utilisées dans les cyberattaques. L'objectif des attaquants est de tirer profit de ces vulnérabilités critiques en monnayant leur possible utilisation. Ce sont les grandes compagnies comme Microsoft ou Adobe ou encore les CES comme WordPress mais aussi les stockages des données dans le cloud qui sont la cible des cybermenaces de ces exploits. La découverte d'une faille critique est aussi rentable pour les hackers que l'exploitation d'un rançongiciel.

Selon le chercheur Kevin Beaumont : “Le document utilise la fonctionnalité de modèle distant de Word pour récupérer un fichier HTML à partir d’un serveur Web distant, qui à son tour utilise le schéma d’URI ms-msdt MSProtocol pour charger du code et exécuter du PowerShell”, “Cela ne devrait pas être possible.”

Microsoft publie une solution temporaire pour la vulnérabilité dans Office. Microsoft s’est exprimé au sujet de la vulnérabilité zero-day qui touche la suite Office, et plus particulièrement l’outil MSDT, qui est actuellement exploitée dans le cadre d’attaques informatiques. (Sources)


Microsoft Office est une suite bureautique propriété de la société Microsoft fonctionnant avec les plates-formes fixes et mobiles. Elle s'installe sur ordinateur et fournit une suite de logiciels comme : Word, Excel, PowerPoint, OneNote, Outlook, Access et/ou Publisher selon les suites choisies.


Microsoft Corporation est une multinationale informatique et micro-informatique américaine, fondée en 1975 par Bill Gates et Paul Allen. Microsoft fait partie des principales capitalisations boursières du NASDAQ, aux côtés d'Apple et d'Amazon. Il fait partie des GAFAM, l'acronyme des géants du Web avec Google, Apple, Facebook et Amazon.
En 2018, le chiffre d'affaires s’élevait à 110,36 milliards de dollars. En 2019, Microsoft enregistre un chiffre d’affaires de 125 milliards de dollars en croissance de près de 14 %. Le 18 janvier 2022, Microsoft annonce son intention de racheter Activision Blizzard pour un montant record de 68,7 milliards de dollars.

A propos de l'auteur

Retour en haut