Skip to main content

Des hackers ont trouvé un moyen de contourner un patch crucial de Microsoft Office

Code malveillant
(Crédit photo: Shutterstock)

Des hackers ont réussi à transformer une ancienne vulnérabilité critique, permettant d’exécuter un code malveillant à distance sous Microsoft Office. Alors que cette dernière venait d’être corrigée par l’éditeur.

Selon un nouveau rapport de la société de cybersécurité Sophos, les pirates informatiques ont pu contourner cet exploit Office de type "proof-of-concept" disponible publiquement - avant de le propager sous la forme du malware Formbook. 

En septembre, Microsoft a publié un correctif pour empêcher tout cybercriminel d'exécuter un code malveillant, depuis un document Word intégrant une archive CAB (Microsoft Cabinet). En retravaillant l'exploit original et en compressant le document Word malveillant dans un dossier RAR spécialement conçu, les hackers ont créé une alternative "sans archive CAB" de l'exploit, capable d'échapper au correctif original.

Ce nouvel exploit a été distribué via courrier électronique pendant environ 36 heures, avant de disparaître complètement. La durée de vie limitée de l'exploit laisse supposer qu'il s'agit d'un "tir à blanc" destiné à préparer de futures attaques plus importantes et ciblées.

Méfiez-vous des fichiers RAR

Au cours de leur enquête, les chercheurs de Sophos ont découvert que les pirates responsables ont créé un dossier RAR anormal, contenant un script PowerShell stocké dans le document compressé.

Pour diffuser ce contenu malveillant, les cybercriminels ont créé et distribué des spams invitant les victimes potentielles à décompresser le dossier RAR pour accéder au document Word. Cependant, l'ouverture du document a déclenché un processus qui exécutait le script frontal, entraînant par la suite l'infection de l’appareil récepteur.

Andrew Brandt, chercheur principal en charge de cette enquête chez Sophos, a expliqué dans un communiqué de presse (opens in new tab) comment les hackers ont pu contourner le correctif initial de Microsoft :

"En théorie, cette approche offensive n'aurait pas dû fonctionner, mais elle l'a fait. Les versions pré-patch de l'attaque impliquaient un code malveillant dissimulé dans un fichier CAB. Lorsque le correctif de Microsoft a comblé cette lacune, les hackers ont découvert une preuve de concept permettant de regrouper le logiciel malveillant dans un format de fichier compressé différent, une archive RAR. Les archives RAR ont déjà été utilisées pour distribuer du code malveillant, mais le processus exploité ici se révèle exceptionnellement complexe. Il est probablement passé entre les filets de la surveillance des suites de sécurité, uniquement parce que le champ d'action du correctif s’avère très étroitement défini et parce que le programme WinRAR - nécessaire pour décompresser tout fichier RAR - se montre très tolérant aux pannes. WinRAR ne s’inquiète nullement de la malformation d’une archive, ou par extension de sa manipulation".

S'il est important d'appliquer des correctifs aux logiciels pour les protéger contre les vulnérabilités connues, il est tout aussi important de sensibiliser les salariés aux dangers de l'ouverture de pièces jointes suspectes, en particulier lorsqu'elles arrivent dans des formats de fichiers compressés inhabituels et peu familiers.

After working with the TechRadar Pro team for the last several years, Anthony is now the security and networking editor at Tom’s Guide where he covers everything from data breaches and ransomware gangs to the best way to cover your whole home or business with Wi-Fi. When not writing, you can find him tinkering with PCs and game consoles, managing cables and upgrading his smart home.