Les chercheurs en sécurité de McAfee et FireEye alertent au sujet d'une faille 0day (sans patch) affectant Microsoft Office. Toutes les versions de Word sont vulnérables. La faille fait l'objet d'une exploitation dans des attaques.
Un fichier RTF - généralement transmis via email - avec une extension .doc tire parti d'un problème au niveau du protocole et système d'objets distribué OLE (Object Linking and Embedding) qui est le vecteur d'attaque.
FireEye explique que lorsque l'utilisateur ouvre le document spécialement conçu, winword.exe émet une requête HTTP vers un serveur distant afin de recevoir un fichier .hta (HTML Application) et exécuter un script malveillant. Ce script met fin au processus Word, télécharge des charges utiles supplémentaires (et potentiellement des malwares) et affiche un leurre.
" Le processus winword.exe original est arrêté afin de cacher à l'utilisateur une invite de commande générée par OLE2link. " McAfee ajoute que l'attaquant peut passer outre les mesures de mitigation basées sur la mémoire développées par Microsoft.
Une première attaque remonterait à fin janvier. Pas beaucoup plus de détails mais on peut miser sur des attaques très ciblées compte tenu du scénario évoqué. Microsoft va publier un correctif à l'occasion de son prochain " Patch Tuesday "… qui tombe demain.
À noter tout de même, et c'est un point important, que l'attaque ne parvient pas à se jouer du mode protégé d'Office. Or, il est activé par défaut.
