Une faille MS Word non corrigée pourrait permettre à des pirates informatiques d’infecter votre ordinateur

Des chercheurs en cybersécurité ont révélé une faille logique non corrigée dans Microsoft Office 2016.

Et dans les versions antérieures qui pourrait permettre à un attaquant d’incorporer du code malveillant dans un fichier de document, poussant les utilisateurs à exécuter du malware sur leur ordinateur.

Découvert par les chercheurs de Cymulate, le bogue abuse de l’ option " Vidéo en ligne " dans les documents Word, une fonctionnalité qui permet aux utilisateurs d’intégrer une vidéo en ligne avec un lien vers YouTube, comme indiqué.

Lorsqu’un utilisateur ajoute un lien vidéo en ligne à un document MS Word, la fonctionnalité Vidéo en ligne génère automatiquement un script HTML incorporé, qui est exécuté lorsque la vignette à l’intérieur du document est cliquée par le visualiseur.

Les chercheurs ont décidé de rendre publiques leurs conclusions trois mois après que Microsoft ait refusé de reconnaître le problème signalé en tant que faille de sécurité.

Comment fonctionne la nouvelle attaque MS Word ?

Comme les fichiers Word Doc (.docx) sont en fait des packages zip de ses fichiers de support et de configuration, il peut être facilement ouvert et modifié.

Selon les chercheurs, le fichier de configuration appelé "document.xml", qui est un fichier XML par défaut utilisé par Word et contenant le code vidéo incorporé généré, peut être modifié pour remplacer le code vidéo iFrame actuel par tout code HTML ou JavaScript serait exécuté en arrière-plan.

En termes simples, un attaquant peut exploiter le bogue en remplaçant la vidéo YouTube réelle par une vidéo malveillante qui serait exécutée par Internet Explorer Download Manager.

"Dans le fichier .xml, recherchez le paramètre embeddedHtml (sous WebVideoPr) qui contient le code iframe de Youtube", ont déclaré les chercheurs. "Enregistrez les modifications dans le fichier document.xml, mettez à jour le paquet docx avec le fichier XML modifié et ouvrez le document. Aucun avertissement de sécurité n’est présenté lors de l’ouverture de ce document avec Microsoft Word."

Démonstration vidéo : Défaut de vidéo en ligne MS Word

Pour prouver l’étendue de la vulnérabilité, les chercheurs de Cymulate ont créé une attaque par validation du concept , montrant comment un document créé de manière malveillante avec une vidéo intégrée, qui, si l’utilisateur cliquait dessus, inciterait l’utilisateur à exécuter un exécutable intégré (sous forme de blob d’une base64). –Sans rien télécharger d’Internet ou afficher un avertissement de sécurité lorsque la victime clique sur la vignette de la vidéo.

Le piratage nécessite un attaquant pour convaincre les victimes d’ouvrir un document puis de cliquer sur un lien vidéo intégré.

Les chercheurs de Cymulate ont signalé à Microsoft, de manière responsable, ce problème qui affecte tous les utilisateurs de MS Office 2016 et des versions antérieures de la suite de productivité, il y a trois mois, mais la société a refusé de reconnaître qu’il s’agissait d’une faille de sécurité.

Apparemment, Microsoft n’a pas l’intention de résoudre le problème et dit que son logiciel "interprète correctement le code HTML tel qu’il a été conçu".

Dans le même temps, les chercheurs ont recommandé aux administrateurs d’entreprise de bloquer les documents Word contenant la balise vidéo intégrée : "embeddedHtml" dans le fichier Document.xml. Les utilisateurs finaux sont donc invités à ne pas ouvrir les pièces jointes non sollicitées provenant de sources inconnues ou suspectes.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image