Microsoft Office contient une faille importante, mettez-le à jour !

Attaque Zero-day
(Crédit photo: Shutterstock.com)

Les chercheurs en cybersécurité de Cisco Talos ont récemment découvert une vulnérabilité de haute importance dans Microsoft Office qui permettrait de potentielles attaques à distance via l'éxecution d'un code malveillant sur l'ordinateur cible.

Annonçant la nouvelle dans un court billet de blog publié en début de semaine, le développeur de logiciels de bureautique a déclaré que son chercheur Marcin 'Icewall' Noga a découvert une faille de sécurité de double désallocation affectant Microsoft Excel.

A partir d'un fichier Excel piégé, la victime permet à l'attaquant d'exécuter du code parasite sur son appareil. La vulnérabilité est désormais répertoriée sous le nom de CVE-2022-41106, et à part cette précision, les détails sont rares. 

Ce que nous savons, c'est que Microsoft a été informé et a d'ores et déjà déjà fourni un correctif. Les utilisateurs d'Excel sont invités à mettre à jour leur logiciel à la version 2207 build 15427.20210 et à la version 2202 build 14931.20660.

La cible : les employés de bureau

La suite de productivité de Microsoft reste l'un des vecteurs d'attaque les plus populaires auprès des cybercriminels. Jusqu'à récemment, les documents Office contenant des macros malveillantes, distribués par courrier électronique, étaient le moyen le plus populaire pour que les employés de bureau téléchargent et exécutent des logiciels malveillants sur leurs ordinateurs, ouvrant ainsi la voie à des cyberattaques plus destructrices telles que les ransomwares ou les vols d'identité.

Plus récemment, Microsoft a décidé d'empêcher le logiciel d'exécuter des macros dans les fichiers téléchargés depuis l'internet, par opposition au réseau local de confiance.

Cela a incité les cybercriminels à délaisser les macros au profit des fichiers de raccourci Windows (.lnk), qui sont désormais largement utilisés pour charger des fichiers .dll malveillants et d'autres types de malwares.

Quelles que soient les mesures de sécurité mises en œuvre par les fabricants de logiciels et les entreprises, une vérité demeure : les employés restent le maillon faible de la chaîne de cybersécurité. S'ils ne sont pas sensibilisés et formés à la lutte contre les cyberattaques, les escrocs trouveront toujours un moyen de les inciter à télécharger et à exécuter des logiciels malveillants. 

En outre, s'assurer que le personnel n'est pas surmené et distrait peut également contribuer à améliorer la cybersécurité des entreprises.

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.