Faille sous Word

Microsoft a corrigé mardi une faille sous word précédemment non divulgué. Elle est utilisé pour installer une variété de logiciels malveillants sur les ordinateurs des victimes.

Le jour de zéro a été mis en lumière à la fin de semaine dernière. Dans son enquête, SophosLabs a déterminé que des exploits contre la vulnérabilité étaient en cours depuis un certain temps. Le chercheur principal de SophosLabs, Gábor Szappanos, a estimé que la majeure partie de l’activité s’est produite en mars-avril 2017, mais le premier échantillon du laboratoire situé remonte à novembre 2016.

Dans son bulletin, Microsoft a déclaré que la mise à jour de sécurité résolvait les vulnérabilités de Microsoft Office qui pourraient permettre l’exécution de code à distance si un utilisateur ouvre un fichier Office spécialement conçu. De la solution, le géant du logiciel a déclaré:

Cette mise à jour de sécurité désactive certains filtres graphiques.

La vulnérabilité

La vulnérabilité est déclenchée par l’ouverture d’un document qui provoque un avertissement de téléchargement bénéfique. Puis un téléchargement à partir d’un serveur piégé qui envoie un document de type plus dangereux.

Dans ce cas, le serveur piégé transmet un fichier HTML compilé avec un script de programme intégré. Word accepte et exécute le script sans produire l’avertissement que vous attendez à voir.

Cela affecte toutes les versions Office actuelles utilisées sur tous les systèmes d’exploitation Windows, y compris le dernier Office 2016 exécuté sous Windows 10. Les attaques ne dépendent pas des macros activées, de sorte qu’aucun avertissement pour les documents chargés de macros ne s’affiche. Le Druyx Bank Trojan fait partie des logiciels malveillants utilisés dans certains des exploits.

Les détails de la vulnérabilité ont été publiés pour la première fois par McAfee et FireEye au cours du week-end. C’est le dernier d’une longue série de bugs que les attaquants peuvent tirer profit des fichiers construits de manière malveillante.

L’équipe de préparation aux urgences informatiques des États-Unis (US CERT), partie du Department of Homeland Security (DHS), a publié son propre avis sur le défaut:

L’objet Microsoft OLE2Link peut ouvrir des données d’application en fonction du type MIME fourni par le serveur, ce qui permet à un attaquant distant non authentifié d’exécuter du code arbitraire sur un système vulnérable.

Les exploits utilisés dans la nature ont les caractéristiques suivantes, CERT dit:

Le document qui déclenche la vulnérabilité OLE2Link est un document RTF qui se masque en tant que fichier Microsoft Word DOC.
L’exploit se connecte à un serveur distant pour obtenir un fichier HTA qui contient VBScript pour être exécuté par le client.

Cette attaque dépend de l’utilisateur qui accepte un avertissement de chargement de contenu distant. Sans cela, le contenu externe ne sera pas tiré.

Le patch et les autres défenses

La solution ultime ici est d’installer le patch de Microsoft le plus tôt possible. Pour des défenses supplémentaires pour cette menace et d’autres, nous suggérons ce qui suit:

Si vous recevez un document Word par courrier électronique et que vous ne connaissez pas la personne qui l’a envoyé, NE L’OUVREZ PAS.

Il semble que les attaques observées jusqu’à présent ne permettent pas de contourner l’Office Protected View, ce qui signifie que cela permet de fournir une protection supplémentaire.
Utilisez un antivirus avec un scanner sur accès (également connu sous le nom de protection en temps réel). Cela peut vous aider à bloquer les logiciels malveillants de ce type dans une défense multi-couches, par exemple en arrêtant le fichier de mots initialement piégé, empêchant le téléchargement de Dridex, bloquant le programme malveillant téléchargé et détectant et éliminant le malware Dridex en Mémoire.

Envisager d’utiliser les programmes dédiés Word et Excel de Microsoft pour visualiser les pièces jointes. La plupart des documents s’affichent très bien, mais les macros intégrées ne sont pas prises en charge et ne peuvent donc pas être exécutées.


Ne jamais éteindre les fonctions de sécurité car un courrier électronique ou un document le dit. Les documents tels que les factures, les avis de messagerie et les applications de travail devraient être lisibles sans macros activées.

Votre wifi est il protégé ? Nous y répondons