La semaine dernière, des chercheurs en sécurité de McAfee ont signalé qu’une faille zero-day dans l’outil de traitement de texte Microsoft Word a été exploitée par des attaquants pour compromettre des ordinateurs et les infecter avec un malware. Une faille qui affecte toutes les versions d’Office, y compris la dernière version d’Office 2016 sous Windows 10, avec un problème lié à la fonctionnalité Windows OLE (Object Linking and Embedding) qui permet à la suite bureautique d’intégrer au sein de documents des références et des liens vers d’autres documents ou objets. Les chercheurs ont indiqué que les attaques les plus récentes qu’ils ont pu observer remontent à janvier.
« L'exploit se connecte à un serveur distant (contrôlé par l'attaquant), télécharge un fichier contenant du contenu d'application HTML et l'exécute en tant que fichier .hta. Parce que .hta est un fichier exécutable, l'attaquant est en mesure de lancer l'exécution complète de son code sur la machine de la victime. Aussi, il s'agit d'un bogue logique qui donne aux attaquants la possibilité de contourner les mesures d’atténuation basées sur la mémoire développées par Microsoft », a expliqué McAfee.
Dans l’échantillon que l’expert en sécurité a étudié, le fichier HTA (HTML Application) contenait du code VBScript malveillant et s’est dissimulé sous l’apparence d’un document au format RTF (rich text format) pour passer sous les radars des logiciels antivirus installés sur la machine de la cible.
« En cas d’exploit réussi, le document Word qui a servi d'appât se ferme et en affiche un autre à la victime. Pendant ce temps, en arrière-plan, les logiciels malveillants ont déjà été installés furtivement sur le système de la victime », expliquent les chercheurs.
En France, le CERT-FR a émis un bulletin d'alerte. Dans le résumé, l’autorité note « qu’une vulnérabilité a été découverte dans Microsoft Office. Elle permet à un attaquant de provoquer une exécution de code arbitraire. La vulnérabilité exploitée est déclenchée lors de l'ouverture d'un document Microsoft Word contenant un objet OLE2link. Le processus winword.exe effectue alors une requête HTTP vers un serveur de l'attaquant pour télécharger un fichier au format HTA contenant un script malveillant qui sera ensuite exécuté. D'après les observations de FireEye (cf. documentation), le script termine le processus winword.exe et affiche un document Word factice à l'attention de l'utilisateur. Le script semble aussi pouvoir télécharger des charges malveillantes additionnelles ».
Le CERT-FR précise cependant que la protection Protected View de Microsoft Office, activée par défaut pour les versions 2013 et 2016, permet d'empêcher l'exécution des fonctionnalités malveillantes du document. Il convient alors de s'assurer que cette fonctionnalité est bien active.
Toutefois, l’autorité a recommandé une attention particulière à la réception de courriel non sollicité et de ne pas ouvrir les documents attachés à de tels messages. De façon générale, la plus grande prudence est conseillée face à toutes pièces jointes suspectes.
Pour sa part, la société ProofPoint a rapporté que ladite vulnérabilité est exploitée pour permettre la diffusion du cheval de Troie bancaire Dridex, spécialisé dans le vol d’identifiants bancaires. L’entreprise de cybersécurité évoque une campagne d'attaques avec des millions de destinataires dont l'Australie est le pays le plus concerné.
À l'occasion de la mise à jour de sécurité du mois d'avril 2017, cette vulnérabilité, classée parmi les vulnérabilités critiques, a été corrigée par Microsoft.
Source : blog McAfee, CERT-FR, bulletin de sécurité de Microsoft du 11 avril 2017, ProofPoint
Microsoft corrige la faille zero-day d'Office qui a été exploitée par le Trojan bancaire Dridex
Et est liée à la fonctionnalité Windows OLE
Microsoft corrige la faille zero-day d'Office qui a été exploitée par le Trojan bancaire Dridex
Et est liée à la fonctionnalité Windows OLE
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !