Microsoft Office affecté d’une vulnérabilité critique vieille de 17 ans
Un composant vulnérable depuis Office 2000 permet l’exécution de code malveillant à l’ouverture d’un fichier bureautique.
Une vulnérabilité de Microsoft Office permet à un attaquant d’installer un malware sur la machine ciblée sans réelle interaction de son utilisateur. La faille réside dans un problème de corruption mémoire qui touche toutes les versions de la suite bureautique développées depuis 2000 jusqu’à Office 365 sur toutes les plates-formes Windows y compris le récent Windows 10 Fall Creators Update.
Selon la firme de sécurité Embedi, qui a découvert la brèche de sécurité, le problème réside dans le composant EQNEDT32.EXE, un éditeur d’équation pour les versions Office 2000 et Office 2003. Si le module n’est plus utilisé depuis Office 2007, il reste présent dans la suite, probablement pour des questions de compatibilité avec les documents précédemment créés.
Exécution automatique de code malveillant
Sans entrer dans les détails, EQNEDT32.EXE échoue à manipuler correctement les objets dans la mémoire ouvrant à la corruption de cette dernière afin qu’un attaquant puisse exécuter du code malveillant. On trouvera le détail de la vulnérabilité dans le rapport détaillé d’Embedi.
La firme évoque plusieurs scénarios d’attaque. « En insérant plusieurs objets OLE qui exploitaient la vulnérabilité décrite, il était possible d’exécuter une séquence arbitraire de commandes (par exemple, pour télécharger un fichier arbitraire à partir d’Internet et l’exécuter). » L’ouverture d’un fichier corrompu suffirait donc à déclencher l’exécution de code malveillant sans passer par une commande macro comme c’est souvent le cas dans ce type d’attaque.
Autre scénario selon les chercheurs : « Une des façons les plus faciles d’exécuter du code arbitraire est de lancer un fichier exécutable à partir du serveur WebDAV contrôlé par un attaquant. »
Plusieurs moyens de se protéger
Au-delà du niveau minimal de paranoïa à appliquer face à la réception de fichiers d’origine inconnue ou trouble, les utilisateurs peuvent néanmoins se protéger de telles attaques en activant le mode protégé de visualisation (Protected View) des fichiers Office. « Il réduit la surface d’attaque en interdisant l’exécution et la mise à jour du contenu actif (OLE/ActiveX/Macro), ainsi que le chargement des composants à partir de sources externes », indique Embedi.
Il est également possible de modifier le registre du système pour désactiver le chargement du fichier EQNEDT32.EXE au démarrage de la machine en changent XX.X par la version d’Office en place dans les lignes suivantes :
reg add "HKLM\SOFTWARE\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000- 0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
ou dans le cas d’une installation d’Office 32 bits sur un OS 64 bits
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
Mais le plus simple reste d’appliquer la mise à jour de sécurité de novembre de Microsoft (sauf pour les utilisateurs de Windows XP). Laquelle corrige la vulnérabilité CVE-2017-11882 propre à la façon dont Office manipule les objets en mémoire.
Lire également
Une faille zero day de Microsoft Office exploitée depuis janvier
Un malware se déclenche en survolant un document Office
Zero day Microsoft Word : l’auberge espagnole pour hackers d’Etat et cybercriminels
