Ils trouvent un moyen d’exécuter des logiciels malveillants dans Office sans utiliser de macros
Pendant des années, l’une des techniques les plus largement utilisées pour distribuer des logiciels malveillants aux utilisateurs de Windows a été de le faire via Office, cachant la menace dans des «macros» ou de petits codes automatisés dans Word , Excel et d’autres applications Office. Depuis que Microsoft a commencé à bloquer ce type de contenu par défaut, ces menaces ont été considérablement réduites. Cependant, il semble que les pirates aient trouvé un nouveau moyen de continuer à distribuer des logiciels malveillants dans Office sans s’appuyer sur ces macros.
Comme nous pouvons le lire dans Bleeping Computer , les experts en sécurité ont découvert plusieurs menaces qui circulent sur Internet qui utilisent des fichiers Office (Word et Excel, principalement) pour distribuer des logiciels malveillants parmi les utilisateurs qui ouvrent lesdits documents et, en outre, sans qu’il soit nécessaire de dépendre de macros qui, à chaque fois, avaient plus de difficultés.
Pour mettre en œuvre cette technique, les pirates utilisent une fonctionnalité appelée Microsoft Dynamic Data Exchange (DDE), une fonctionnalité qui permet aux applications Office de charger des données à partir d’autres applications Office, comme l’importation d’un tableau à partir de Word. Excel.
Bien que cette fonctionnalité ait été remplacée par le contenu OLE (Object Linking and Embedding), DDE est toujours présent pour des raisons de compatibilité dans ces applications Office, et c’est là que la menace commence.
Comment fonctionnent ces nouveaux hacks Office sans macro
D’une manière générale, la fonction «Microsoft Dynamic Data Exchange» n’est rien de plus qu’un lien vers une ressource hébergée en dehors du document afin qu’elle puisse y être facilement insérée, avec les instructions nécessaires pour vous indiquer les informations à charger dans le document. Cette fonctionnalité a été conçue pour pouvoir télécharger des documents à partir d’autres documents, cependant, les pirates ont trouvé un moyen de pouvoir télécharger tout autre type de contenu via cette fonctionnalité.
En outre, lorsque vous essayez d’ouvrir le document, Office affiche deux avertissements, l’un pour signaler que le document contient des liens vers des ressources externes et un autre généré à partir d’une erreur lors de la tentative d’ouverture d’un terminal distant.
Ainsi, les pirates ont trouvé un moyen d’utiliser cette technique pour ouvrir une fenêtre CMD et y exécuter également du code malveillant . Ils ont également réussi à éviter la deuxième fenêtre d’avertissement, de sorte que les chances de détecter l’infection sont encore plus faibles pour les utilisateurs qui ne sont pas formés à ces types de techniques.
Microsoft n’a pas l’intention de fournir une solution. «Ce n’est pas une vulnérabilité.»
Dernièrement, Microsoft s’est adonné à l’expression «pas une vulnérabilité» car, comme nous l’avons vu ces dernières semaines, il l’utilise trop. Lorsque les experts en sécurité ont signalé ce nouveau vecteur d’attaque à l’entreprise, Microsoft a répondu, encore une fois, qu’il ne s’agissait pas d’une vulnérabilité, mais simplement d’une (très ancienne) fonction qui est utilisée avec des intentions malveillantes, donc elle ne sera pas résolue.
Quoi qu’il en soit, il existe déjà des hackers, comme ceux du groupe FIN7, qui utilisent cette technique en masse sur Internet, nous devons donc faire preuve d’une extrême prudence et éviter, dans la mesure du possible, de télécharger et d’exécuter des documents Office à partir d’Internet. ou e-mail, des documents qui, si nous ne faisons pas confiance à la source à 100%, peuvent facilement cacher une menace comme celle que nous venons de voir.
Que pensez-vous de ce nouveau vecteur d’attaque via Office?
