La faille Office vieille de 17 ans exploitée par Cobalt

Christophe Lagane,
faille-microsoft-office-17-ans-exploit-cobalt

Le groupe de cybercriminel Cobalt tente d’exploiter la vulnérabilité, pourtant corrigée, de l’éditeur d’équation de Microsoft Office.

La vulnérabilité vieille de 17 ans qui touche toutes les versions de Microsoft Office sur l’ensemble des plateformes Windows a attiré l’attention de pirates.

Découverte par Embedi (firme de sécurité IT britannique) et révélée mi-novembre, cette faille serait activement exploitée par le groupe de hackers Cobalt.

« Le code d’exploitation [exploits en anglais] qui utilise cette vulnérabilité a déjà été détecté et analysé. L’analyse des échantillons effectuée par ReversingLabs confirme la conclusion selon laquelle le fameux groupe Cobalt s’appuie sur cette vulnérabilité particulière pour ses attaques », avance la firme de sécurité britannique.

Sans pour autant préciser si des attaques ont réussi…

Un fichier RTF infectieux

Découvert en 2016, le groupe de cybercriminels Cobalt est réputé pour s’attaquer aux institutions financières dans le monde entier, notamment en utilisant des méthodes d’ingénierie sociale.

La faille Office les intéresse d’autant plus que celle-ci permet d’exécuter du code à distance sur la machine affectée. Il suffit pour cela que l’utilisateur ouvre un fichier infectieux, envoyé par email notamment, ou depuis un serveur WebDAV.

La procédure d’infection ne fait pas appel à une macro comme c’est souvent le cas avec les fichiers bureautiques.

Pour sa part, Corbalt diffuse par email un fichier texte RTF afin d’activer le téléchargement d’autres exécutables infectieux.

Correctifs pas encore appliqués

L’attaque exploite la vulnérabilité CVE-2017-11882 propre à la façon dont l’éditeur d’équation d’Office manipule la mémoire vive.

Si le fichier EQNEDT32.EXE vulnérable n’est plus directement utilisé depuis Office 2007, Microsoft a continué de livrer ce composant avec les versions ultérieures de la suite bureautique pour des raisons de compatibilité principalement.

L’éditeur de Windows a néanmoins corrigé cette vulnérabilité à l’occasion de son Patch Tuesday de novembre. Mais comme souvent, les correctifs ne sont pas toujours appliqués dans la foulée de leur disponibilité. Une latence des mises à jour dont essaie visiblement de profiter Cobalt.

Ce n’est pas la première fois que ce groupe exploite un bug affectant des produits Microsoft pour leurs campagnes d’attaque.

Fin août, le groupe tentait de tirer partie de la vulnérabilité CVE-2017-8759 qui affectait le framework .NET.

Une faille corrigée par l’éditeur de Redmond en septembre.

Lire également
Une faille zero day de Microsoft Office exploitée depuis janvier
Un malware se déclenche en survolant un document Office
Zero day Microsoft Word : l’auberge espagnole pour hackers d’Etat et cybercriminels

crédit photo @ GlebStock – Shutterstock