Une faille zero-day menace les utilisateurs de Word et est déjà exploitée par les pirates
Elle concerne toutes les versions de Microsoft Office
Le 2017-04-10 14:56:56, par Coriolan, Expert éminent sénior
Une nouvelle vulnérabilité zero-day a été détectée par des chercheurs de sécurité, elle permet aux pirates d’installer des malwares en exploitant une vulnérabilité dans toutes les versions de Microsoft Word.
Ce sont les chercheurs de sécurité de McAfee qui ont été les premiers à signaler l’existence de cette faille. Dans un billet de blog, ils ont informé qu’ils ont observé des activités suspectes sur certains fichiers avant de confirmer qu’ils exploitent une vulnérabilité trouvée dans Windows et Word et non encore patchée par Microsoft.
L’attaque est lancée par un email qui livre un document Word piégé en tant que pièce jointe ; une fois le fichier ouvert, le code malicieux contenu dans le document se connecte à un serveur distant (contrôlé par les attaquants). Il se charge dès lors de télécharger une application HTML camouflée sous le format Rich Text Format (.rtf) de Microsoft. En arrière-plan, le fichier .hta étant exécutable, il donne aux pirates le pouvoir d’exécuter du code sur la machine de la victime.
« La vulnérabilité ferme le fichier Word piège et montre un faux document à la victime. En arrière-plan, le malware a été déjà installé furtivement dans la machine de la victime », a expliqué McAfee.
Cette attaque est intéressante pour plusieurs raisons. De un, elle permet de passer outre les protections de mémoire incorporées par Microsoft même dans Windows 10, la dernière version de l’OS du géant du logiciel. De deux, cette faille ne repose pas sur les macros comme les autres vulnérabilités d’Office.
Les chercheurs de sécurité de FireEye ont également testé la vulnérabilité et ont informé qu’ils ont communiqués avec Microsoft plusieurs semaines avant que la faille n’ait été rendue publique. FireEye a décidé plus tard de publier un billet de blog sur la vulnérabilité après que McAfee a dévoilé les détails sur l’attaque. La firme de Redmond devrait publier ce mardi un correctif qui fera partie du Patch Tuesday.
En attendant, les utilisateurs devront doubler de vigilance vis-à-vis de tout document Word reçu par email. Les chercheurs de McAfee ont informé que l’attaque ne peut pas avoir lieu si le document est consulté avec la fonctionnalité Office Protected View activée.
Source : McAfee - FireEye
Et vous ?
Ce sont les chercheurs de sécurité de McAfee qui ont été les premiers à signaler l’existence de cette faille. Dans un billet de blog, ils ont informé qu’ils ont observé des activités suspectes sur certains fichiers avant de confirmer qu’ils exploitent une vulnérabilité trouvée dans Windows et Word et non encore patchée par Microsoft.
L’attaque est lancée par un email qui livre un document Word piégé en tant que pièce jointe ; une fois le fichier ouvert, le code malicieux contenu dans le document se connecte à un serveur distant (contrôlé par les attaquants). Il se charge dès lors de télécharger une application HTML camouflée sous le format Rich Text Format (.rtf) de Microsoft. En arrière-plan, le fichier .hta étant exécutable, il donne aux pirates le pouvoir d’exécuter du code sur la machine de la victime.
« La vulnérabilité ferme le fichier Word piège et montre un faux document à la victime. En arrière-plan, le malware a été déjà installé furtivement dans la machine de la victime », a expliqué McAfee.
Cette attaque est intéressante pour plusieurs raisons. De un, elle permet de passer outre les protections de mémoire incorporées par Microsoft même dans Windows 10, la dernière version de l’OS du géant du logiciel. De deux, cette faille ne repose pas sur les macros comme les autres vulnérabilités d’Office.
Les chercheurs de sécurité de FireEye ont également testé la vulnérabilité et ont informé qu’ils ont communiqués avec Microsoft plusieurs semaines avant que la faille n’ait été rendue publique. FireEye a décidé plus tard de publier un billet de blog sur la vulnérabilité après que McAfee a dévoilé les détails sur l’attaque. La firme de Redmond devrait publier ce mardi un correctif qui fera partie du Patch Tuesday.
En attendant, les utilisateurs devront doubler de vigilance vis-à-vis de tout document Word reçu par email. Les chercheurs de McAfee ont informé que l’attaque ne peut pas avoir lieu si le document est consulté avec la fonctionnalité Office Protected View activée.
Source : McAfee - FireEye
Et vous ?
-
AesonNouveau Candidat au ClubBypasser Credential Guard pour aller lire dans le memoir de la VM qui contient les Hash ? Depuis Word ? J'aimerai bien voir comment ils font...De un, elle permet de passer outre les protections de mémoire incorporées par Microsoft même dans Windows 10Il ne doit pas etre difficile d'avoir une infra qui previent l'infection....L’attaque est lancée par un email qui livre un document Word piégé en tant que pièce jointe ; une fois le fichier ouvert, le code malicieux contenu dans le document se connecte à un serveur distantle 10/04/2017 à 16:13
-
SkyZoThreaDMembre expérimentéOutre le fait que je ne comprend pas ce que veut dire cette phrase, je ne vois pas non plus d'où tu tire cette affirmation...le 10/04/2017 à 16:54
-
AesonNouveau Candidat au Clubje ne vois pas non plus d'où tu tire cette affirmation...C'est ca :elle permet de passer outre les protections de mémoire incorporées par Microsoft même dans Windows 10
https://technet.microsoft.com/fr-fr/...(v=vs.85).aspxle 10/04/2017 à 17:00 -
AesonNouveau Candidat au ClubQuand on regarde l'article original c'est directement moin grave comme vulerabilité... C'est un simple virus en fait.The vulnerability is bypassing most mitigations; however, as noted above, FireEye email and network products detect the malicious documents. Microsoft Office users are recommended to apply the patch as soon as it is available.le 10/04/2017 à 17:08
-
SkyZoThreaDMembre expérimentéNon. Un virus ça se réplique. Mais c'est un abus de langage tellement répandu qu'on comprend quand-même. En tout cas c'est bien un malware ici. Je ne connaissait pas cette techno consistant à utiliser un hyperviseur pour protéger les hash et je trouve que c'est bien vu. Mais les hyperviseurs ne sont pas un barrière infranchissable. Ils sont des softs comme les autres et tous les grands d'entre-eux ont déjà été attaqués avec succès. Soit, c'est quand-même intelligent de leur part et il est clair que je suis plus tranquille sachant que mes credentials sont sur une vm plutôt qu'un bout de programme lancé directement par le noyau. Mais les données sont bien sur mon disque et bien accessibles par les programmes du noyau.... Enfin... Quoi qu'il en soit, cette techno n'a pas vraiment de rapport avec cette faille. En effet, il n'y a pas besoin de mot de passe pour obtenir les droits "root" sur un système quand on injecte un payload par une faille... donc pas besoin de casser cette sécu : elle est complètement contournée.le 10/04/2017 à 23:47