0day : une attaque cible les utilisateurs de Microsoft Office

Le par  |  42 commentaire(s)
Microsoft-Office-logo

Une vulnérabilité sans patch affecte toutes les versions d'Office. Un problème au niveau de la technologie OLE. Mieux vaut ne pas désactiver le mode protégé.

Les chercheurs en sécurité de McAfee et FireEye alertent au sujet d'une faille 0day (sans patch) affectant Microsoft Office. Toutes les versions de Word sont vulnérables. La faille fait l'objet d'une exploitation dans des attaques.

Un fichier RTF - généralement transmis via email - avec une extension .doc tire parti d'un problème au niveau du protocole et système d'objets distribué OLE (Object Linking and Embedding) qui est le vecteur d'attaque.

FireEye explique que lorsque l'utilisateur ouvre le document spécialement conçu, winword.exe émet une requête HTTP vers un serveur distant afin de recevoir un fichier .hta (HTML Application) et exécuter un script malveillant. Ce script met fin au processus Word, télécharge des charges utiles supplémentaires (et potentiellement des malwares) et affiche un leurre.

" Le processus winword.exe original est arrêté afin de cacher à l'utilisateur une invite de commande générée par OLE2link. " McAfee ajoute que l'attaquant peut passer outre les mesures de mitigation basées sur la mémoire développées par Microsoft.

Une première attaque remonterait à fin janvier. Pas beaucoup plus de détails mais on peut miser sur des attaques très ciblées compte tenu du scénario évoqué. Microsoft va publier un correctif à l'occasion de son prochain " Patch Tuesday "… qui tombe demain.

À noter tout de même, et c'est un point important, que l'attaque ne parvient pas à se jouer du mode protégé d'Office. Or, il est activé par défaut.

Complément d'information
  • Microsoft corrige 62 vulnérabilités, dont une 0day
    Les correctifs de sécurité de Microsoft honorent leur rendez-vous mensuel. Alors qu'elle n'est pas considérée critique, une faille affectant Office a été exploitée dans des attaques ciblées. Pas d'attaque mais une divulgation ...
  • 0day Microsoft Office : Dridex est de la partie !
    Faisant l'objet d'une récente alerte, la vulnérabilité 0day de Microsoft Office est exploitée dans des attaques pour permettre la diffusion du cheval de Troie bancaire Dridex. Une 0day qui n'est donc pas seulement utilisée pour du ...

Vos commentaires Page 1 / 5

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1960932
[vendredi on]
Houlà ! Faut que je vérifie cela de toute ur.... Ha oui, c'est vrai... Je suis sur Libreoffice et sur Tux. Suis-je distrait parfois.
[vendredi off]
Anonyme
Le #1960933
Ça ne me dérangerait pas de passer à Libre Office, avec une semaine de formation rémunérée bien sûr.

[TROLL]
Tu es su "Tux" ? Avec le bureau Unity promis à un grand avenir, j'espère .
[/TROLL]
Le #1960940
Les objets OLE existent aussi dans LibreOffice
Le #1960948
Système pratique, mais j'ai toujours imaginé le pire avec un doc vérolé lié...
Le #1960960
Ulysse2K a écrit :

[vendredi on]
Houlà ! Faut que je vérifie cela de toute ur.... Ha oui, c'est vrai... Je suis sur Libreoffice et sur Tux. Suis-je distrait parfois.
[vendredi off]


Libre office a ses failles aussi
Le #1960974
amaura a écrit :

Ulysse2K a écrit :

[vendredi on]
Houlà ! Faut que je vérifie cela de toute ur.... Ha oui, c'est vrai... Je suis sur Libreoffice et sur Tux. Suis-je distrait parfois.
[vendredi off]


Libre office a ses failles aussi


Mais il y a des milliers de développeurs pour les corriger ouvertement, au lieu d'une obscure mise à jour KB12595447XYZ.
Le #1960975
Ho la la Plus je creuse un trou hyper large, plus vous êtes nombreux à tomber dedans. Le plus amusant, j'y ai mis un beau panneau avec mes balises du vendredi : "faites gaffes, trou béant"
Anonyme
Le #1960980
Vikingfr a écrit :

amaura a écrit :

Ulysse2K a écrit :

[vendredi on]
Houlà ! Faut que je vérifie cela de toute ur.... Ha oui, c'est vrai... Je suis sur Libreoffice et sur Tux. Suis-je distrait parfois.
[vendredi off]


Libre office a ses failles aussi


Mais il y a des milliers de développeurs pour les corriger ouvertement, au lieu d'une obscure mise à jour KB12595447XYZ.


Parce que il n'y a pas des centaines de développeurs pour MS-Office, la division bureautique est une des plus importantes de MS.

Et centaines est plus réaliste que milliers.

Anonyme
Le #1960981
Ulysse2K a écrit :

Ho la la Plus je creuse un trou hyper large, plus vous êtes nombreux à tomber dedans. Le plus amusant, j'y ai mis un beau panneau avec mes balises du vendredi : "faites gaffes, trou béant"


Je ne pense pas être tombé dans le gouffre, vu que j'y ai répondu sur le même ton.

Le #1960988
Ulysse2K a écrit :

Ho la la Plus je creuse un trou hyper large, plus vous êtes nombreux à tomber dedans. Le plus amusant, j'y ai mis un beau panneau avec mes balises du vendredi : "faites gaffes, trou béant"


Je n'ai pas fait attention sur le coup

Je suis tombé dans le panneau
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]