Des chercheurs en sécurité ont découvert une vulnérabilité critique dans le programme de traitement de texte Microsoft Word. Cela permet aux attaquants de créer des fichiers Word contrefaits qui téléchargent et exécutent automatiquement du code malveillant depuis Internet. Jusqu’à présent, il n’existe aucune protection ni mise à jour de la part de Microsoft. Toutefois, seules les anciennes versions de Microsoft Office semblent être concernées.
Vulnérabilité Zero Day dans Microsoft Office
Les chercheurs en sécurité de nao_sec ont signalé qu’il existe actuellement une dangereuse vulnérabilité Zero Day dans Microsoft Office qui n’a apparemment pas encore été corrigée. La désactivation des macros ne semble pas aider. Microsoft n’a pas encore publié de mise à jour.
Toutefois, seules les anciennes versions d’Office semblent être concernées. La version actuelle de la suite Microsoft Office, ainsi que les packages d’Insider Channel, empêchent apparemment l’utilisation de l’exploit. La « vue protégée » peut également être utile lors de l’ouverture du document. Cependant, quiconque le désactive est à la merci des attaques.
À l’aide d’un document Word, les attaquants peuvent charger et exécuter du code malveillant depuis Internet. Les droits d’administrateur local ne sont pas non plus nécessaires pour exploiter l’exploit du jour zéro.
Du côté positif, seules quelques attaques ont été enregistrées jusqu’à présent, selon les chercheurs. Les utilisateurs de Biélorussie ont été principalement touchés.
Quelle fonction est concernée ?
La vulnérabilité Zero Day concerne principalement la fonction de modèle à distance de Microsoft Word, qui est utilisée pour télécharger des liens externes sous forme de fichiers HTML à partir du réseau. S’ils sont ouverts à l’aide de ms-msdt pour exécuter du code PowerShell.
Dans un Fil Twitter, le chercheur en sécurité informatique Kevin Beaumont explique de quoi il s’agit. Grâce à ms-msdt, par exemple, les journaux Microsoft sont également chargés directement depuis les e-mails dans Outlook.
Le 29 mai, il publie un résumé du numéro dans lequel il détaille le problème. Ici, il voit le plus gros problème dans le fait que Microsoft Word exécute le code à l’aide de l’outil de support msdt, même si les macros sont désactivées.
Bien que la vue protégée offre ici un remède, les attaquants peuvent facilement contourner ce problème en enregistrant le document au format RTF, qui serait alors même exécuté sans avoir à ouvrir le document au préalable – via l’onglet d’aperçu dans l’Explorateur.
Selon Beaumont, il a pu exécuter le script sous Windows 10 sans droits d’administrateur local avec Markos, Windows Defender et Office 365 Semi-Annual Channel désactivés pour ouvrir la calculatrice à titre de test.
La vulnérabilité persistait dans Office 2013 et 2016, c’est pourquoi il voit un problème principalement dans le fait que de nombreuses entreprises utilisent encore d’anciennes versions d’Office. Au moins la bonne nouvelle : « Avec Insider et la version actuelle d’Office, je n’ai pas pu exécuter le script – ce qui indique que Microsoft a fait quelque chose ou au moins essayé de corriger la vulnérabilité sans la documenter. »
