Discussion :

[Patrick Ruiz]

Alerte malware : il se propage au travers de fichiers PowerPoint
Et exploite une faille (déjà corrigée) dans le mécanisme OLE d’Office

Les chercheurs de la firme de sécurité Trend Micro viennent de mettre un malware à nu. Il exploite la faille de sécurité référencée CVE-2017-0199 et corrigée par Microsoft en avril dernier. La faille avait jusqu’ici été utilisée pour abuser des utilisateurs de Microsoft Office et Wordpad via des fichiers RTF malicieux. Les fichiers PowerPoint également sont désormais utilisés par les cybercriminels d’après ce que rapporte la firme.

Comme il est de coutume dans ce type d’attaque, la victime reçoit un courriel piégé. Dans ce cas particulier, le courriel semble principalement destiné à des organisations de l’industrie manufacturière de l’électronique, mais il n’est pas exclu qu’il se retrouve chez des particuliers.

L’erreur à ne pas commettre est connue : procéder à l’ouverture du fichier attaché, ce que des personnes non averties finissent par faire la plupart du temps. Dans ce cas précis, ce qui se passe alors est que le processus d’infection est lancé avec l’exécution de code JavaScript malicieux via un fichier XML déguisé en fichier Word. La victime se retrouve ainsi avec une version trojanisée de REMCOS, un outil d’administration à distance installé sur son ordinateur.

Une fois l’outil installé, l’attaquant peut se livrer à une panoplie d’activités depuis un ordinateur distant. Pratiquement tout y passe : exécution de commandes sur l’ordinateur infecté, enregistrement de la webcam, du microphone, des saisies clavier, etc.

Les utilisateurs non avertis sont les plus exposés à ce type de menace surtout dans le cas où système d’exploitation et suite logicielle de traitement de texte ne sont pas à jour. Cet état de choses suppose en effet que l’outil puisse être installé, certes grâce à l’ignorance de l’utilisateur, mais aussi à cause de ceci que l’utilisation de fichiers PowerPoint pourrait rendre l’infection non détectable par un antivirus codé pour détecter les infections via les fichiers RTF.

« Des cas comme ceux-ci viennent rappeler l’importance pour les utilisateurs de faire preuve de prudence lorsqu’ils ouvrent des fichiers ou cliquent sur des liens dans leur courriel », écrit la firme de sécurité qui ajoute que « les utilisateurs doivent toujours maintenir leurs systèmes à jour. »

Source : Trend Micro

Et vous  ?

Qu’en pensez-vous  ?

Voir aussi :

Une faille zero-day menace les utilisateurs de Word et est déjà exploitée par les pirates, elle concerne toutes les versions de Microsoft Office
Microsoft corrige la faille zero-day d'Office qui a été exploitée par le Trojan bancaire Dridex et est liée à la fonctionnalité Windows OLE

[Picarunix]

Lorsque je lis ce genre de (mauvaise) nouvelle, je me demande pourquoi son auteur ne mentionne pas le genre de système d'exploitation qui est susceptible d'être infecté.
C'est peut-être parce que la grande majorité des utilisateurs utilise Window's qu'il est entendu que c'est lui qui est seul concerné.

[kopbuc]

La firme qui s'attribue des découvertes

https://github.com/bhdresh/CVE-2017-0199

[Invité]

Lorsque je lis ce genre de (mauvaise) nouvelle, je me demande pourquoi son auteur ne mentionne pas le genre de système d'exploitation qui est susceptible d'être infecté.
C'est peut-être parce que la grande majorité des utilisateurs utilise Window's qu'il est entendu que c'est lui qui est seul concerné.

La CVE-2017-0199 ne parle que des versions Office sous Windows (je présume que c'est aussi le cas pour Office 2016) et de Windows dans différentes versions. Les liens donnés en fin d'article permettent de voir rapidement que des systèmes Windows (fonctionnalité Windows OLE). Mais c'est pas faux, quand une annonce de ce type touche uniquement Windows, il faut un peu creuser pour avoir la confirmation que les systèmes alternatifs ne sont pas directement concernés. Par contre quand ils le sont, c'est généralement bien visible ...

[nirgal76]

Lorsque je lis ce genre de (mauvaise) nouvelle, je me demande pourquoi son auteur ne mentionne pas le genre de système d'exploitation qui est susceptible d'être infecté.
C'est peut-être parce que la grande majorité des utilisateurs utilise Window's qu'il est entendu que c'est lui qui est seul concerné.

Ben vue que c'est une faille OLE, je pense que c'est implicite puisque Windows est le seul OS à implémenter cette technologie.
Bon, c'est une faille corrigé. Faut juste mettre à jour régulièrement et pas ouvrir n'importe quelle pièce jointe dans les mails douteux. Rien de nouveau, ça utilise toujours la meilleur faille, l'utilisateur "non averti" (ou imprudent pour le dire autrement).