Des hackers ont réussi à transformer une ancienne vulnérabilité critique, permettant d’exécuter un code malveillant à distance sous Microsoft Office. Alors que cette dernière venait d’être corrigée par l’éditeur.
Selon un nouveau rapport de la société de cybersécurité Sophos, les pirates informatiques ont pu contourner cet exploit Office de type "proof-of-concept" disponible publiquement - avant de le propager sous la forme du malware Formbook.
En septembre, Microsoft a publié un correctif pour empêcher tout cybercriminel d'exécuter un code malveillant, depuis un document Word intégrant une archive CAB (Microsoft Cabinet). En retravaillant l'exploit original et en compressant le document Word malveillant dans un dossier RAR spécialement conçu, les hackers ont créé une alternative "sans archive CAB" de l'exploit, capable d'échapper au correctif original.
Ce nouvel exploit a été distribué via courrier électronique pendant environ 36 heures, avant de disparaître complètement. La durée de vie limitée de l'exploit laisse supposer qu'il s'agit d'un "tir à blanc" destiné à préparer de futures attaques plus importantes et ciblées.
- Microsoft Office se pare d’une nouvelle interface - voici comment en profiter
- Comment activer TPM 2.0 sur votre PC et obtenir Windows 11 ?
- Comment personnaliser le nouveau menu Démarrer de Windows 11 ?
Méfiez-vous des fichiers RAR
Au cours de leur enquête, les chercheurs de Sophos ont découvert que les pirates responsables ont créé un dossier RAR anormal, contenant un script PowerShell stocké dans le document compressé.
Pour diffuser ce contenu malveillant, les cybercriminels ont créé et distribué des spams invitant les victimes potentielles à décompresser le dossier RAR pour accéder au document Word. Cependant, l'ouverture du document a déclenché un processus qui exécutait le script frontal, entraînant par la suite l'infection de l’appareil récepteur.
Andrew Brandt, chercheur principal en charge de cette enquête chez Sophos, a expliqué dans un communiqué de presse comment les hackers ont pu contourner le correctif initial de Microsoft :
"En théorie, cette approche offensive n'aurait pas dû fonctionner, mais elle l'a fait. Les versions pré-patch de l'attaque impliquaient un code malveillant dissimulé dans un fichier CAB. Lorsque le correctif de Microsoft a comblé cette lacune, les hackers ont découvert une preuve de concept permettant de regrouper le logiciel malveillant dans un format de fichier compressé différent, une archive RAR. Les archives RAR ont déjà été utilisées pour distribuer du code malveillant, mais le processus exploité ici se révèle exceptionnellement complexe. Il est probablement passé entre les filets de la surveillance des suites de sécurité, uniquement parce que le champ d'action du correctif s’avère très étroitement défini et parce que le programme WinRAR - nécessaire pour décompresser tout fichier RAR - se montre très tolérant aux pannes. WinRAR ne s’inquiète nullement de la malformation d’une archive, ou par extension de sa manipulation".
S'il est important d'appliquer des correctifs aux logiciels pour les protéger contre les vulnérabilités connues, il est tout aussi important de sensibiliser les salariés aux dangers de l'ouverture de pièces jointes suspectes, en particulier lorsqu'elles arrivent dans des formats de fichiers compressés inhabituels et peu familiers.
- Meilleurs antivirus 2021 : quelle solution choisir ?
