Une faille de sécurité exploitant la fonction d'intégration de vidéo en ligne sur Microsoft Word
Permet d'exécuter aisément un code malveillant

Le , par Christian Olivier, Chroniqueur Actualités
Cymulate, un fournisseur de solutions de simulation de brèches et d’attaques, a récemment annoncé avoir découvert une faille de sécurité dans le logiciel Word de la suite Microsoft Office qui pourrait affecter tous les utilisateurs d’Office 2016 et versions antérieures.


L’équipe de recherche de Cymulate a découvert un moyen d’abuser de la fonction Vidéo en ligne sur Microsoft Word pour exécuter un code malveillant. Cette technique permet d’infecter un ordinateur via des documents Word sans déclencher un avertissement de sécurité révélateur en exploitant une fonctionnalité qui, à la base, permet d’intégrer directement des vidéos dans des fichiers Word.

Cette attaque réalisée en quelques étapes simples permet de modifier manuellement et aisément la référence du chemin d’une vidéo distante à l’intérieur d’un fichier DOCX pour qu’elle pointe vers un code malveillant.

Il suffit pour cela de créer un document Word, puis d’y incorporer une vidéo grâce à la fonctionnalité « Vidéo en ligne » présente dans l’onglet « Insérer ». Après avoir sauvegardé ce document Word avec sa vidéo en ligne intégrée sous le format .docx, il faut ensuite le décompressé et éditer le fichier XML nommé document.xml qu’il contient dans le répertoire word.


En effet, les fichiers portant l’extension .docx ne sont en fait qu’un paquet ou une archive regroupant différents fichiers. Si vous décompressez un fichier .docx en modifiant, par exemple, l’extension .docx en .zip puis en décompressant l’archive résultante, vous remarquerez qu’il y a plusieurs fichiers et répertoires à l’intérieur.


Il vous faudra alors remplacer le lien vidéo par un « crafted payload » qui lance le gestionnaire de téléchargements du navigateur Internet Explorer avec le fichier d’exécution de code intégré. Pour cela, cherchez simplement dans le fichier .xml le paramètre embeddedHtml (sous WebVideoPr) qui contient le code iframe YouTube et remplacez le code iframe original par n’importe quel code html/JavaScript qui sera exécuté par Internet Explorer.


Sauvegardez en fin les modifications dans le fichier document.xml, mettez à jour le paquet .docx avec le XML modifié et ouvrez le document. Une fois exécuté, ce code utilisera la méthode « msSaveOrOrOpenBlob » pour déclencher le téléchargement de l’exécutable en ouvrant le gestionnaire de téléchargements d’Internet Explorer avec l’option pour exécuter ou enregistrer le fichier cible, mais ne déclenche pas l’affichage d’un message de sécurité indiquant que cela pourrait être dangereux, comme le fait habituellement Word quand il ouvre une macro.

Les attaquants pourraient utiliser cette technique à des fins malveillantes telles que l’hameçonnage, car le document montrera la vidéo en ligne intégrée avec un lien vers YouTube, tout en dissimulant un code html/JavaScript caché qui sera exécuté en arrière-plan et pourrait potentiellement mener à d’autres scénarios d’exécution du code.

L’équipe de recherche en sécurité de Cymulate a identifié le bogue et a averti Microsoft. La firme de Redmond a, par la suite, confirmé qu’il s’agissait d’une faille de sécurité dans l’exécution du code JavaScript dans le composant vidéo intégré d’Office.

Source : Cymulate

Et vous ?

Qu’en pensez-vous ?

Voir aussi

Microsoft annonce la disponibilité d'Office 2019 pour Mac et Windows avec des fonctionnalités dérivées d'Office 365 ProPlus
Office 2019 ne sera disponible que sur Windows 10, Microsoft réduit également le support étendu de cette version à deux ans
Les contrôles Flash, Shockwave et Silverlight seront bloqués dans les applications Office 365, par mesure de sécurité
Microsoft termine son année fiscale 2018 avec un chiffre d'affaires annuel supérieur à 100 milliards de dollars avec un 4T18 meilleur que prévu


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de e101mk2 e101mk2 - Membre confirmé https://www.developpez.com
le 30/10/2018 à 10:09
Qu’en pensez-vous ?
Nous avons pas la même utilisation de Word. Je m'en sert pour créer des page statique dans le but de l'imprimer, ou de le transformer en PDF.

Donc je ne comprend pas le principes des vidéos, animations flash et autre élément visuel dynamique dans un tel document.

Si quelqu'un a une utilité professionnel ou personnel de ces fonctions (autre que de tester la faille), qu'il m'éclaire...
Avatar de MagnusMoi MagnusMoi - Membre confirmé https://www.developpez.com
le 30/10/2018 à 10:49
Citation Envoyé par e101mk2 Voir le message
Nous avons pas la même utilisation de Word. Je m'en sert pour créer des page statique dans le but de l'imprimer, ou de le transformer en PDF.

Donc je ne comprend pas le principes des vidéos, animations flash et autre élément visuel dynamique dans un tel document.

Si quelqu'un a une utilité professionnel ou personnel de ces fonctions (autre que de tester la faille), qu'il m'éclaire...
J'en ai pas l'utilité moi non plus, mais certains l'utilisent pour leur blog (l'exporter en HTML)
Avatar de greg91 greg91 - Membre régulier https://www.developpez.com
le 30/10/2018 à 17:45
J'en ai pas l'utilité moi non plus, mais certains l'utilisent pour leur blog (l'exporter en HTML)
Ho mon dieu !

 
Contacter le responsable de la rubrique Accueil