Skip to main content

Cette vulnérabilité de Microsoft Office a été corrigée il y a des années, mais les hackers en abusent encore

Microsoft Office vs LibreOffice
(Crédit photo: Shutterstock)

Bien que les éditeurs de logiciels publient des correctifs à fréquence régulière, pour empêcher l'exploitation de failles de sécurité, les utilisateurs oublient souvent de les installer et les cybercriminels en sont bien conscients.

Les experts en sécurité informatique de Menlo Labs ont récemment observé un certain nombre d'attaques dont le point d’entrée est une ancienne vulnérabilité présente sous Microsoft Office. Cette dernière, répertoriée sous la référence CVE-2017-11882, a été corrigée par la firme de Redmond en 2018. Mais depuis peu, elle serait réapparue dans des attaques visant de multiples sociétés immobilières, bancaires ou dans le domaine du divertissement. Des cibles localisées principalement à Hong Kong ainsi qu’en Amérique du Nord.

La faille de sécurité identifiée se situe au sein de l'éditeur d'équations de Microsoft Office. Une fonction qui permet aux utilisateurs d'intégrer des équations ou des formules mathématiques dans n'importe quel document bureautique. Selon un récent rapport du FBI, CVE-2017-11882 est l'une des dix principales vulnérabilités qui se révèlent couramment exploitées par les hackers.

Ces failles de sécurité qui ne meurent jamais

A l’origine de la première attaque, nous trouvons un fichier RTF à télécharger depuis le site loginto.me. Lorsque la victime ouvre le fichier sous Word, elle est redirigée - via un lien bit.ly - vers un logiciel de téléchargement de fichiers (Femto Uploader). Ce logiciel installe un exécutable sur la machine cible et ouvre un point d’accès pour coller une charge utile malveillante. Charge utile qui contient le cheval de Troie d'accès à distance NetWire (RAT), employé pour voler des données personnelles et bancaires.

Les méthodes des pirates évoluent toutefois et Menlo Labs a décryptée deux autres types d’attaques. L’une repose sur dropsend.com, un site de partage de fichiers très populaire. Ce site web a été utilisé pour héberger un fichier Microsoft Excel malveillant qui, une fois ouvert, demande par requête HTTP de télécharger le malware Agent Tesla. Encore un RAT qui est capable de subtiliser des identifiants, mais aussi de réaliser des captures d'écran et de télécharger des fichiers supplémentaires.

La dernière attaque, exploitant le CVE-2017-1182, part du même fichier Excel malveillant, sauf que cette fois, il est hébergé sur OneDrive et dissimule un autre RAT baptisé Houdini ou H-Worm.

Vinay Pidathala, directeur de la recherche chez Menlo Labs, met sérieusement en garde les entreprises (et les particuliers) contre cette vulnérabilité loin d’être éliminée :

« Le fait que CVE-2017-11882 continue d'être exploité témoigne non seulement du caractère faussement fiable des fichiers corrompus, mais aussi du fait qu'il existe des entreprises qui exécutent encore des logiciels obsolètes. Il est essentiel d’installer les patchs officiels des applications et des systèmes d'exploitation pour les protéger contre ces problèmes de sécurité. Néanmoins, la pénurie de professionnels de la cybersécurité, combinée à l'évolution constante de l'environnement informatique des entreprises, rend plus difficile la mise en place d'un processus de gestion des correctifs adéquats ».