Pour gérer vos consentements :

La faille Office vieille de 17 ans exploitée par Cobalt

La vulnérabilité vieille de 17 ans qui touche toutes les versions de Microsoft Office sur l’ensemble des plateformes Windows a attiré l’attention de pirates.

Découverte par Embedi (firme de sécurité IT britannique) et révélée mi-novembre, cette faille serait activement exploitée par le groupe de hackers Cobalt.

« Le code d’exploitation [exploits en anglais] qui utilise cette vulnérabilité a déjà été détecté et analysé. L’analyse des échantillons effectuée par ReversingLabs confirme la conclusion selon laquelle le fameux groupe Cobalt s’appuie sur cette vulnérabilité particulière pour ses attaques », avance la firme de sécurité britannique.

Sans pour autant préciser si des attaques ont réussi…

Un fichier RTF infectieux

Découvert en 2016, le groupe de cybercriminels Cobalt est réputé pour s’attaquer aux institutions financières dans le monde entier, notamment en utilisant des méthodes d’ingénierie sociale.

La faille Office les intéresse d’autant plus que celle-ci permet d’exécuter du code à distance sur la machine affectée. Il suffit pour cela que l’utilisateur ouvre un fichier infectieux, envoyé par email notamment, ou depuis un serveur WebDAV.

La procédure d’infection ne fait pas appel à une macro comme c’est souvent le cas avec les fichiers bureautiques.

Pour sa part, Corbalt diffuse par email un fichier texte RTF afin d’activer le téléchargement d’autres exécutables infectieux.

Correctifs pas encore appliqués

L’attaque exploite la vulnérabilité CVE-2017-11882 propre à la façon dont l’éditeur d’équation d’Office manipule la mémoire vive.

Si le fichier EQNEDT32.EXE vulnérable n’est plus directement utilisé depuis Office 2007, Microsoft a continué de livrer ce composant avec les versions ultérieures de la suite bureautique pour des raisons de compatibilité principalement.

L’éditeur de Windows a néanmoins corrigé cette vulnérabilité à l’occasion de son Patch Tuesday de novembre. Mais comme souvent, les correctifs ne sont pas toujours appliqués dans la foulée de leur disponibilité. Une latence des mises à jour dont essaie visiblement de profiter Cobalt.

Ce n’est pas la première fois que ce groupe exploite un bug affectant des produits Microsoft pour leurs campagnes d’attaque.

Fin août, le groupe tentait de tirer partie de la vulnérabilité CVE-2017-8759 qui affectait le framework .NET.

Une faille corrigée par l’éditeur de Redmond en septembre.


Lire également
Une faille zero day de Microsoft Office exploitée depuis janvier
Un malware se déclenche en survolant un document Office
Zero day Microsoft Word : l’auberge espagnole pour hackers d’Etat et cybercriminels

crédit photo @ GlebStock – Shutterstock

Recent Posts

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

4 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

7 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

9 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

1 jour ago

Quelques chiffres pour contextualiser le premier livrable du comité de l’IA générative

Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…

1 jour ago

Le DMA, cette entreprise de microgestion des Big Tech

L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.

1 jour ago