IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Une faille zero-day menace les utilisateurs de Word et est déjà exploitée par les pirates


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Coriolan
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mai 2016
    Messages
    701
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mai 2016
    Messages : 701
    Points : 51 808
    Points
    51 808
    Par défaut Une faille zero-day menace les utilisateurs de Word et est déjà exploitée par les pirates
    Une faille zero-day menace les utilisateurs de Word et est déjà exploitée par les pirates
    Elle concerne toutes les versions de Microsoft Office

    Une nouvelle vulnérabilité zero-day a été détectée par des chercheurs de sécurité, elle permet aux pirates d’installer des malwares en exploitant une vulnérabilité dans toutes les versions de Microsoft Word.

    Ce sont les chercheurs de sécurité de McAfee qui ont été les premiers à signaler l’existence de cette faille. Dans un billet de blog, ils ont informé qu’ils ont observé des activités suspectes sur certains fichiers avant de confirmer qu’ils exploitent une vulnérabilité trouvée dans Windows et Word et non encore patchée par Microsoft.

    L’attaque est lancée par un email qui livre un document Word piégé en tant que pièce jointe ; une fois le fichier ouvert, le code malicieux contenu dans le document se connecte à un serveur distant (contrôlé par les attaquants). Il se charge dès lors de télécharger une application HTML camouflée sous le format Rich Text Format (.rtf) de Microsoft. En arrière-plan, le fichier .hta étant exécutable, il donne aux pirates le pouvoir d’exécuter du code sur la machine de la victime.

    « La vulnérabilité ferme le fichier Word piège et montre un faux document à la victime. En arrière-plan, le malware a été déjà installé furtivement dans la machine de la victime », a expliqué McAfee.

    Cette attaque est intéressante pour plusieurs raisons. De un, elle permet de passer outre les protections de mémoire incorporées par Microsoft même dans Windows 10, la dernière version de l’OS du géant du logiciel. De deux, cette faille ne repose pas sur les macros comme les autres vulnérabilités d’Office.

    Les chercheurs de sécurité de FireEye ont également testé la vulnérabilité et ont informé qu’ils ont communiqués avec Microsoft plusieurs semaines avant que la faille n’ait été rendue publique. FireEye a décidé plus tard de publier un billet de blog sur la vulnérabilité après que McAfee a dévoilé les détails sur l’attaque. La firme de Redmond devrait publier ce mardi un correctif qui fera partie du Patch Tuesday.

    En attendant, les utilisateurs devront doubler de vigilance vis-à-vis de tout document Word reçu par email. Les chercheurs de McAfee ont informé que l’attaque ne peut pas avoir lieu si le document est consulté avec la fonctionnalité Office Protected View activée.


    Source : McAfee - FireEye

    Et vous ?

    Qu'en pensez-vous ?

  2. #2
    Nouveau Candidat au Club
    Homme Profil pro
    .
    Inscrit en
    Mai 2015
    Messages
    589
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Angola

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : Mai 2015
    Messages : 589
    Points : 0
    Points
    0
    Par défaut
    De un, elle permet de passer outre les protections de mémoire incorporées par Microsoft même dans Windows 10
    Bypasser Credential Guard pour aller lire dans le memoir de la VM qui contient les Hash ? Depuis Word ? J'aimerai bien voir comment ils font...


    L’attaque est lancée par un email qui livre un document Word piégé en tant que pièce jointe ; une fois le fichier ouvert, le code malicieux contenu dans le document se connecte à un serveur distant
    Il ne doit pas etre difficile d'avoir une infra qui previent l'infection....

  3. #3
    Membre expérimenté Avatar de SkyZoThreaD
    Homme Profil pro
    Technicien maintenance
    Inscrit en
    Juillet 2013
    Messages
    584
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Juillet 2013
    Messages : 584
    Points : 1 615
    Points
    1 615
    Par défaut
    Citation Envoyé par Aeson Voir le message
    Bypasser Credential Guard pour aller lire dans le memoir de la VM qui contient les Hash ? Depuis Word ? J'aimerai bien voir comment ils font...
    Outre le fait que je ne comprend pas ce que veut dire cette phrase, je ne vois pas non plus d'où tu tire cette affirmation...

  4. #4
    Nouveau Candidat au Club
    Homme Profil pro
    .
    Inscrit en
    Mai 2015
    Messages
    589
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Angola

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : Mai 2015
    Messages : 589
    Points : 0
    Points
    0
    Par défaut
    je ne vois pas non plus d'où tu tire cette affirmation...
    elle permet de passer outre les protections de mémoire incorporées par Microsoft même dans Windows 10
    C'est ca : Nom : IC826631.png
Affichages : 3038
Taille : 58,9 Ko

    https://technet.microsoft.com/fr-fr/...(v=vs.85).aspx

  5. #5
    Nouveau Candidat au Club
    Homme Profil pro
    .
    Inscrit en
    Mai 2015
    Messages
    589
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Angola

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : Mai 2015
    Messages : 589
    Points : 0
    Points
    0
    Par défaut
    Quand on regarde l'article original c'est directement moin grave comme vulerabilité... C'est un simple virus en fait.

    The vulnerability is bypassing most mitigations; however, as noted above, FireEye email and network products detect the malicious documents. Microsoft Office users are recommended to apply the patch as soon as it is available.

  6. #6
    Membre expérimenté Avatar de SkyZoThreaD
    Homme Profil pro
    Technicien maintenance
    Inscrit en
    Juillet 2013
    Messages
    584
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Juillet 2013
    Messages : 584
    Points : 1 615
    Points
    1 615
    Par défaut
    Non. Un virus ça se réplique. Mais c'est un abus de langage tellement répandu qu'on comprend quand-même. En tout cas c'est bien un malware ici. Je ne connaissait pas cette techno consistant à utiliser un hyperviseur pour protéger les hash et je trouve que c'est bien vu. Mais les hyperviseurs ne sont pas un barrière infranchissable. Ils sont des softs comme les autres et tous les grands d'entre-eux ont déjà été attaqués avec succès. Soit, c'est quand-même intelligent de leur part et il est clair que je suis plus tranquille sachant que mes credentials sont sur une vm plutôt qu'un bout de programme lancé directement par le noyau. Mais les données sont bien sur mon disque et bien accessibles par les programmes du noyau.... Enfin... Quoi qu'il en soit, cette techno n'a pas vraiment de rapport avec cette faille. En effet, il n'y a pas besoin de mot de passe pour obtenir les droits "root" sur un système quand on injecte un payload par une faille... donc pas besoin de casser cette sécu : elle est complètement contournée.

  7. #7
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 938
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 938
    Points : 207 047
    Points
    207 047
    Par défaut Microsoft corrige la faille zero-day d'Office qui a été activement exploitée par le Trojan bancaire Dridex
    Microsoft corrige la faille zero-day d'Office qui a été activement exploitée par le Trojan bancaire Dridex,
    et est liée à la fonctionnalité Windows OLE

    La semaine dernière, des chercheurs en sécurité de McAfee ont signalé qu’une faille zero-day dans l’outil de traitement de texte Microsoft Word a été exploitée par des attaquants pour compromettre des ordinateurs et les infecter avec un malware. Une faille qui affecte toutes les versions d’Office, y compris la dernière version d’Office 2016 sous Windows 10, avec un problème lié à la fonctionnalité Windows OLE (Object Linking and Embedding) qui permet à la suite bureautique d’intégrer au sein de documents des références et des liens vers d’autres documents ou objets. Les chercheurs ont indiqué que les attaques les plus récentes qu’ils ont pu observer remontent à janvier.

    « L'exploit se connecte à un serveur distant (contrôlé par l'attaquant), télécharge un fichier contenant du contenu d'application HTML et l'exécute en tant que fichier .hta. Parce que .hta est un fichier exécutable, l'attaquant est en mesure de lancer l'exécution complète de son code sur la machine de la victime. Aussi, il s'agit d'un bogue logique qui donne aux attaquants la possibilité de contourner les mesures d’atténuation basées sur la mémoire développées par Microsoft », a expliqué McAfee.

    Dans l’échantillon que l’expert en sécurité a étudié, le fichier HTA (HTML Application) contenait du code VBScript malveillant et s’est dissimulé sous l’apparence d’un document au format RTF (rich text format) pour passer sous les radars des logiciels antivirus installés sur la machine de la cible.

    « En cas d’exploit réussi, le document Word qui a servi d'appât se ferme et en affiche un autre à la victime. Pendant ce temps, en arrière-plan, les logiciels malveillants ont déjà été installés furtivement sur le système de la victime », expliquent les chercheurs.

    En France, le CERT-FR a émis un bulletin d'alerte. Dans le résumé, l’autorité note « qu’une vulnérabilité a été découverte dans Microsoft Office. Elle permet à un attaquant de provoquer une exécution de code arbitraire. La vulnérabilité exploitée est déclenchée lors de l'ouverture d'un document Microsoft Word contenant un objet OLE2link. Le processus winword.exe effectue alors une requête HTTP vers un serveur de l'attaquant pour télécharger un fichier au format HTA contenant un script malveillant qui sera ensuite exécuté. D'après les observations de FireEye (cf. documentation), le script termine le processus winword.exe et affiche un document Word factice à l'attention de l'utilisateur. Le script semble aussi pouvoir télécharger des charges malveillantes additionnelles ».

    Le CERT-FR précise cependant que la protection Protected View de Microsoft Office, activée par défaut pour les versions 2013 et 2016, permet d'empêcher l'exécution des fonctionnalités malveillantes du document. Il convient alors de s'assurer que cette fonctionnalité est bien active.

    Toutefois, l’autorité a recommandé une attention particulière à la réception de courriel non sollicité et de ne pas ouvrir les documents attachés à de tels messages. De façon générale, la plus grande prudence est conseillée face à toutes pièces jointes suspectes.

    Pour sa part, la société ProofPoint a rapporté que ladite vulnérabilité est exploitée pour permettre la diffusion du cheval de Troie bancaire Dridex, spécialisé dans le vol d’identifiants bancaires. L’entreprise de cybersécurité évoque une campagne d'attaques avec des millions de destinataires dont l'Australie est le pays le plus concerné.

    À l'occasion de la mise à jour de sécurité du mois d'avril 2017, cette vulnérabilité, classée parmi les vulnérabilités critiques, a été corrigée par Microsoft.

    Source : blog McAfee, CERT-FR, bulletin de sécurité de Microsoft du 11 avril 2017, ProofPoint

Discussions similaires

  1. Réponses: 2
    Dernier message: 04/06/2016, 22h09
  2. Réponses: 0
    Dernier message: 23/04/2015, 22h23
  3. Une faille zero day dans Flash Player menace Windows, Mac OS X et Linux
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 6
    Dernier message: 05/05/2014, 13h17
  4. Réponses: 9
    Dernier message: 12/11/2010, 13h22
  5. Réponses: 13
    Dernier message: 09/07/2006, 15h53

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo