Une faille zero day de Microsoft Office exploitée depuis janvier

Alerte aux failles critiques

McAfee et FireEye dévoilent une faille de la suite Office permettant de prendre le contrôle du système Windows. La rustine de Microsoft devrait logiquement être publiée cette semaine.

Les firmes de cybersécurité McAfee et FireEye mettent en garde les utilisateurs contre une attaque en cours exploitant une faille zero day de Microsoft Office. Cette vulnérabilité permet à des assaillants d’exécuter du code sur les machines cibles et d’y installer des malwares. FireEye assure avoir observé l’installation de différentes familles de malwares « bien connues ».

La faille de la suite bureautique est donc critique, et aucun correctif n’est encore disponible. Microsoft est évidemment averti du problème et pourrait produire un patch dans le cadre de sa livraison mensuelle, attendue le 11 avril au soir. Mais, selon McAfee, les premières attaques exploitant cette vulnérabilité remontent à janvier de cette année. L’éditeur qui vient de s’extraire du giron d’Intel explique que la vulnérabilité découverte touche toutes les versions courantes d’Office – y compris les plus récentes -, sur toutes les versions de Windows.

Documents Word, mais aussi Excel ou PowerPoint

Le scénario de l’attaque est assez classique. Elle démarre par un mail renfermant un document Word. Ce dernier embarque un objet OLE2link (une technologie propriétaire de Microsoft), qui est le réel vecteur de l’attaque. Si la victime utilise Office Protected View – la sandbox de la suite bureautique -, le piratage est tué dans l’œuf. Si cette fonctionnalité a été désactivée par l’utilisateur, une requête HTTP est automatiquement exécutée déclenchant le téléchargement d’une application HTML (ou HTA), déguisée en fichier RTF.

C’est cette application HTA qui signe la prise de contrôle de la machine Windows ciblée, entrainant au passage la fermeture du fichier Word infectieux et le lancement d’un document destiné à leurrer l’utilisateur. Selon FireEye, les assaillants ferment le processus Word afin de masquer une interaction qui serait sinon générée par OLE2link et qui pourrait donner l’alerte.

Si l’attaque est menée avec Word d’après les observations de deux éditeurs de solutions de sécurité, elle pourrait tout aussi bien se déployer à partir de fichiers Excel ou PowerPoint, qui eux aussi peuvent embarquer des objets OLE2link. Elle n’a par contre pas recours aux macros – un des vecteurs classiques d’infection depuis les fichiers Office. La désactivation de cette fonction ne suffit donc pas à éloigner la menace.

A lire aussi :

Une faille zero day active corrigée en douce par Microsoft

Google met à jour une faille zero-day de Windows

Comment Windows 10 Anniversary Update a détourné deux attaques zero day

crédit photo © drx – Fotolia.com