La firme de Redmond a publié en fin de semaine dernière un avis de sécurité au sujet d'une vulnérabilité critique de type exécution de code à distance affectant son application de présentation PowerPoint. Cette faille 0-day pour laquelle Microsoft fait état d'attaques limitées et ciblées concerne plus particulièrement PowerPoint 2000 SP3, PowerPoint 2002 SP3, PowerPoint 2003 SP3 et Microsoft Office 2004 pour Mac. À contrario les plus récentes versions se sont pas affectées, à savoir Microsoft Office PowerPoint 2007 et Microsoft Office pour Mac 2008.
Dans son avis de sécurité, Microsoft précise qu'une exploitation de ladite vulnérabilité permet à un attaquant d'obtenir les mêmes droits que ceux de l'utilisateur local. Ainsi, les risques inhérents à cette exploitation sont moins grands pour des comptes configurés avec des droits utilisateurs peu élevés. De quoi souligner une nouvelle fois l'importance de mettre en œuvre une telle pratique avec pour l'utilisation de tous les jours un compte dédié ne possédant pas des droits administrateur.
L'exploitation à proprement parler se fait via l'ouverture d'un fichier PowerPoint malveillant ou un clic sur un lien renvoyant vers celui-ci . L'exploit identifié par Microsoft se charge de transmettre à la machine prise pour cible un cheval de Troie.
Microsoft a constaté que les fichiers exploits ont été soumis au site d'analyse gratuit en ligne VirusTotal, et pour le géant du logiciel : " soit les mécréants qui ont conçu ces exploits voulaient savoir comment les logiciels antivirus allaient détecter leurs nouveaux fichiers, ou les victimes ont cherché à avoir des informations sur la malveillance de ces fichiers ".
Faute de comblement de la vulnérabilité qui est à prévoir dans le prochain Patch Tuesday, Microsoft a publié une signature générique afin de protéger ses clients contre les exploits : Exploit:Win32/Apptom.gen. Les accès aux fichiers exploits sont entre autres bloqués par les solutions Windows Live OneCare ou Forefront Client Security.
