Le dernier Patch Tuesday de l’an 2017 est bel et bien dans l’air. Il vient apporter une solution à une trentaine de « bobos » dans Windows et logiciels liés. Au menu des solutions apportées dans cette édition, une relative à un point d’achoppement entre experts en cybersécurité : la fonctionnalité DDE.
Dynamic Data Exchange (DDE) de Windows est bien connu de ceux qui développent des applications dans des langages comme Visual Basic, notamment, au travers de la spécification Object Linking and Embedding (OLE) qui lui a succédé. DDE permet l’échange de données entre applications dans un modèle client-serveur. Ainsi, un fichier Word (l’application client) peut maintenir une table de données en son sein à jour en faisant appel à Excel (l’application serveur) chaque fois qu’il est ouvert. Faisant suite aux appels à répétition d’acteurs indépendants de la sphère de la cybersécurité soulignant des failles liées à la fonctionnalité, Microsoft a décidé de la désactiver dans toutes les versions supportées de Microsoft Word (2007 à 2016).
Bien sûr, seuls ceux des utilisateurs qui procéderont à la mise à jour de leur système profiteront des retombées de ce Patch Tuesday. Dans les autres cas, il faudra être regardant lors de l’ouverture de fichiers Word reçus comme pièces jointes par courriel. Un fichier avec du code DDE malicieux génèrera néanmoins des invites d’avertissement (cf. exemples ci-dessous). Jugées insuffisantes pour protéger les utilisateurs contre des attaques par une certaine frange de la sphère de la cybersécurité, une autre estime pourtant que la seule faille ici est celle qui se trouve entre la chaise et le clavier, à savoir : l’utilisateur.
Les utilisateurs peu versés en informatique peuvent désormais faire usage de leur traitement de texte sans qu’ « ils » ne soient exploités par des acteurs malveillants. La firme de Redmond laisse néanmoins la possibilité à ceux désireux de faire usage de la fonctionnalité après mise à jour de l’application de la réactiver via la manipulation de la clé de registre AllowDDE.
Excel, Outlook, Publisher, etc. font aussi usage de la fonctionnalité DDE. L’avis de sécurité ADV170021 ne concerne que Word, mais Microsoft a tablé sur les cas des autres produits de sa suite Office dans le cadre de l'avis 4053440 paru en novembre dernier. À défaut d’un correctif sur lequel l’utilisateur devra double-cliquer pour procéder à son installation, il faudra bouger un peu les méninges. Tout est fonction du produit en question et de sa version. Il s’agit également de manipulations de clés particulières du registre pour l’atteinte de cet objectif. Microsoft note enfin que sous la Fall Creators Update, les utilisateurs bénéficient de Windows Defender Exploit Guard pour se prémunir d’attaques à même de mettre DDE à profit.
Sources
Avis de sécurité ADV170021
Avis de sécurité 4053440
Votre opinion
Certains observateurs voient la publication de ces correctifs comme un certain aveu de Microsoft. Partagez-vous cet avis ?
Fonctionnalité DDE : Microsoft publie des correctifs de désactivation dans Word
Instructions disponibles pour les autres produits de la suite Office
Fonctionnalité DDE : Microsoft publie des correctifs de désactivation dans Word
Instructions disponibles pour les autres produits de la suite Office
Le , par Patrick Ruiz
Une erreur dans cette actualité ? Signalez-nous-la !