1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    562
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 562
    Points : 18 932
    Points
    18 932

    Par défaut La fonctionnalité DDE de Windows ouvre la voie à des attaques sans exécution de macros sous Word

    La fonctionnalité DDE de Windows ouvre la voie à des attaques sans exécution de macros sous Word
    Microsoft répond à la firme SensePost

    Le protocole Dynamic Data Exchange (DDE) de Windows est bien connu de ceux qui développent des applications dans des langages comme Visual Basic, notamment, par le biais de la spécification Object Linking and Embedding (OLE) qui lui a succédé. DDE permet l’échange de données entre applications dans un modèle client-serveur. Ainsi, un fichier Word (le client) peut maintenir une table de données en son sein à jour en faisant appel à Excel (le serveur) chaque fois qu’il est ouvert. D’après les chercheurs de la firme de sécurité SensePost, cette fonctionnalité introduit des failles de sécurité.

    Dans une vidéo postée en guise de preuve de concept, les chercheurs de la firme soulignent le fait que l’exploitation de ce mécanisme d’échange de données peut donner lieu à l’exécution de code malicieux sur un ordinateur cible depuis un serveur d’attaque. « Le pire est que l’attaque ne nécessite pas l’activation des macros et ne génère pas d’avertissement de sécurité, etc. », écrivent les chercheurs qui, au passage, dressent une longue liste d’outils antivirus inefficaces face à cette menace.

    Les chercheurs rapportent avoir contacté Microsoft et d’après la firme de Redmond, il ne s’agit pas d’une situation qui requiert modification de ses produits. Il faut en effet rappeler, comme le soulignent les chercheurs de SensePost dans leur billet de blog, que toute tentative d’exploitation de ce mécanisme génère deux avertissements. Les chercheurs mettent de l’emphase sur la possibilité de supprimer la deuxième invite (confère deuxième boîte de dialogue sur l’image ci-dessous), toute chose qui, d’après ces derniers, est de nature à renforcer la furtivité de l’attaque.


    Nom : warnings.jpg
Affichages : 2089
Taille : 43,2 Ko


    Vesselin Bontchev, expert en sécurité chez Vess, est du même avis que la firme de Redmond. « Je suis d’accord avec Microsoft. Ce problème est aussi vieux que le monde (antérieur à la problématique des macros), la fonctionnalité tourne comme attendu et l’utilisateur reçoit un avertissement. Rien à corriger », déclare-t-il. Il faut souligner que l’exploitation de ce mécanisme à des fins malicieuses requiert que l’attaquant « arme » un fichier Word avec du code DDE malicieux et trouve le moyen de le faire ouvrir par un utilisateur. C’est connu, les cybercriminels ont désormais recours aux techniques d’ingénierie sociale pour atteindre de tels objectifs. Il semble donc opportun de rappeler aux utilisateurs du célèbre outil de bureautique de se méfier des pièces jointes reçues de correspondants inconnus via une adresse email.

    Nom : Vess.jpg
Affichages : 1940
Taille : 31,7 Ko

    Source : SensePost

    Et vous ?

    Que pensez-vous du positionnement de Vesselin Bontchev ?

    Y a-t-il de votre point de vue des actions à entreprendre par Microsoft pour améliorer la sécurité des utilisateurs dans ce cas ?

    Voir aussi :

    Microsoft corrige la faille zero-day d'Office qui a été exploitée par le Trojan bancaire Dridex et est liée à la fonctionnalité Windows OLE
    Une faille zero-day menace les utilisateurs de Word et est déjà exploitée par les pirates, elle concerne toutes les versions de Microsoft Office
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    2 509
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 509
    Points : 7 040
    Points
    7 040

    Par défaut

    Que pensez-vous du positionnement de Vesselin Bontchev ?
    Si une fenêtre d'avertissement avec confirmation n'est pas suffisante pour l'utilisateur alors il ne reste plus qu'à supprimer la fonctionnalité...
    Donc oui monsieur Bontchev a tout à fait raison.
    Je comprends même pas que ces chercheurs mettent cela en évidence comme une faille...
    La seule faille dans ce cas précis elle se trouve entre la chaise et le clavier.
    Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.

  3. #3
    Membre expérimenté

    Homme Profil pro
    Développeur multimédia
    Inscrit en
    juillet 2004
    Messages
    978
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur multimédia
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2004
    Messages : 978
    Points : 1 708
    Points
    1 708
    Billets dans le blog
    1

    Par défaut

    Les exécutants "Nous", et les expéditifs "Actionnaires & Compagnies" pour ne pas faire de la novlangue.

  4. #4
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    562
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 562
    Points : 18 932
    Points
    18 932

    Par défaut

    Fonctionnalité DDE : Microsoft publie des correctifs de désactivation dans Word
    Instructions disponibles pour les autres produits de la suite Office

    Le dernier Patch Tuesday de l’an 2017 est bel et bien dans l’air. Il vient apporter une solution à une trentaine de « bobos » dans Windows et logiciels liés. Au menu des solutions apportées dans cette édition, une relative à un point d’achoppement entre experts en cybersécurité : la fonctionnalité DDE.

    Dynamic Data Exchange (DDE) de Windows est bien connu de ceux qui développent des applications dans des langages comme Visual Basic, notamment, au travers de la spécification Object Linking and Embedding (OLE) qui lui a succédé. DDE permet l’échange de données entre applications dans un modèle client-serveur. Ainsi, un fichier Word (l’application client) peut maintenir une table de données en son sein à jour en faisant appel à Excel (l’application serveur) chaque fois qu’il est ouvert. Faisant suite aux appels à répétition d’acteurs indépendants de la sphère de la cybersécurité soulignant des failles liées à la fonctionnalité, Microsoft a décidé de la désactiver dans toutes les versions supportées de Microsoft Word (2007 à 2016).

    Bien sûr, seuls ceux des utilisateurs qui procéderont à la mise à jour de leur système profiteront des retombées de ce Patch Tuesday. Dans les autres cas, il faudra être regardant lors de l’ouverture de fichiers Word reçus comme pièces jointes par courriel. Un fichier avec du code DDE malicieux génèrera néanmoins des invites d’avertissement (cf. exemples ci-dessous). Jugées insuffisantes pour protéger les utilisateurs contre des attaques par une certaine frange de la sphère de la cybersécurité, une autre estime pourtant que la seule faille ici est celle qui se trouve entre la chaise et le clavier, à savoir : l’utilisateur.

    Nom : invites.jpg
Affichages : 1623
Taille : 40,3 Ko

    Les utilisateurs peu versés en informatique peuvent désormais faire usage de leur traitement de texte sans qu’ « ils » ne soient exploités par des acteurs malveillants. La firme de Redmond laisse néanmoins la possibilité à ceux désireux de faire usage de la fonctionnalité après mise à jour de l’application de la réactiver via la manipulation de la clé de registre AllowDDE.

    Nom : AllowDDE.jpg
Affichages : 1106
Taille : 39,4 Ko

    Excel, Outlook, Publisher, etc. font aussi usage de la fonctionnalité DDE. L’avis de sécurité ADV170021 ne concerne que Word, mais Microsoft a tablé sur les cas des autres produits de sa suite Office dans le cadre de l'avis 4053440 paru en novembre dernier. À défaut d’un correctif sur lequel l’utilisateur devra double-cliquer pour procéder à son installation, il faudra bouger un peu les méninges. Tout est fonction du produit en question et de sa version. Il s’agit également de manipulations de clés particulières du registre pour l’atteinte de cet objectif. Microsoft note enfin que sous la Fall Creators Update, les utilisateurs bénéficient de Windows Defender Exploit Guard pour se prémunir d’attaques à même de mettre DDE à profit.

    Sources

    Avis de sécurité ADV170021

    Avis de sécurité 4053440

    Votre opinion

    Certains observateurs voient la publication de ces correctifs comme un certain aveu de Microsoft. Partagez-vous cet avis ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

Discussions similaires

  1. Réponses: 18
    Dernier message: 19/07/2013, 12h29
  2. Réponses: 3
    Dernier message: 29/02/2012, 12h14
  3. Réponses: 28
    Dernier message: 25/10/2011, 09h39
  4. Réponses: 0
    Dernier message: 16/09/2011, 17h12
  5. Windows 98 ne voie pas ma clef USB
    Par Edoxituz dans le forum Windows 2000/Me/98/95
    Réponses: 6
    Dernier message: 13/02/2006, 08h52

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo