Un groupe de chercheurs a trouvé un moyen d’infecter des ordinateurs via un document Word sans déclencher d’avertissement de sécurité. L’attaque a exploité une fonctionnalité permettant à des auteurs d’incorporer des vidéos directement dans des fichiers Word.
Les programmes Office ont déjà été victimes de malwares intégrés par le passé, mais ils sont généralement accompagnés d’avertissements. Les macros Word en sont un bon exemple. Un document MS Office avec une macro intégrée doit demander l’autorisation à l’utilisateur avant de s’exécuter, indiquant ainsi aux utilisateurs que les macros peuvent être dangereuses.
Cymulate, une plateforme de simulation d’attaque et de faille en ligne, a découvert la vulnérabilité de la fonctionnalité vidéo en ligne de Word, qui permet aux utilisateurs d’intégrer une référence à une vidéo distante (telle qu’une vidéo YouTube), et ce directement dans un document, de manière à pouvoir la visionner en l’ouvrant.
Les attaquants peuvent utiliser cet exploit en modifiant manuellement la référence à une vidéo distante dans un fichier DOCX afin qu’elle pointe vers un code malveillant, plutôt que vers une vidéo.
Un document Word avec une extension .docx est en réalité un package compressé contenant plusieurs fichiers et dossiers comprenant le contenu et les métadonnées du document. Normalement, les utilisateurs ne voient pas les divers éléments présents dans le package, car les fichiers .docx sont ouverts, interprétés et présentés par Word. Mais en réalité, les fichiers .docx ne sont toutefois que des archives ZIP, signifiant ainsi qu’ils peuvent être ouverts par n’importe quel décompresseur zip (y compris Windows, qui décompressera votre fichier DOCX si vous modifiez l’extension de fichier en la faisant passer de .docx à .zip et double-cliquez dessus).
La décompression d’un fichier DOCX expose la structure de l’archive, qui contient plusieurs dossiers, y compris un répertoire Word où se trouvent l’essentiel des éléments intéressants. À l’intérieur, il y a un fichier XML appelé document.xml, qui contient le code de toutes les vidéos intégrées sous la forme d’iframes HTML.
Une balise iframe dans un document Word crée une “fenêtre” intégrée dans Internet Explorer qui affiche le contenu d’un autre emplacement, par exemple une vidéo YouTube, à l’ouverture du document Word.
Il s’avère qu’un attaquant peut remplacer l’iframe HTML par tout code HTML ou JavaScript malveillant de son choix et Internet Explorer l’exécutera.
Les chercheurs ont remplacé le contenu de l’iframe par leur propre code de type preuve-de-concept qui a ensuite téléchargé un fichier exécutable à partir d’Internet. La vidéo de démonstration qu’ils montrent, en exploitant la vulnérabilité, demande à l’utilisateur s’il souhaite lancer le fichier exécutable, téléchargé, avant d’infecter la machine, mais sans afficher un message de sécurité alertant sur le fait que cette opération puisse être dangereuse, comme Word fait lorsque vous ouvrez une macro.
Du fait que les attaquants peuvent insérer le code JavaScript de leur choix dans le contenu de l’iframe, cela offre également de nombreuses possibilités pour “de nouveaux scénarios d’exécution”, a déclaré le cofondateur de Cymulate et CTO, Avihai Ben-Yossef.
Cette vulnérabilité nous rappelle une autre attaque, identifiée pour la première fois en 2016, qui exploitait également les références à des éléments extérieurs au document Office, dans ce cas via la fonctionnalité DDE (Dynamic Data Exchange) d’Office. Cette attaque a exploité une fonctionnalité non documentée qui permettait aux références DDE de démarrer toute application déjà installée sur un ordinateur, tel que le command shell, et de lui donner les commandes à exécuter.
Microsoft a finalement corrigé ce problème en désactivant DDE par défaut dans Word. Son approche concernant l’exploit vidéo est plus ambivalente. SCMedia rapporte les propos d’un responsable Microsoft indiquant que le produit “interprète correctement le code HTML tel qu’il a été conçu”.
Comme toujours, les utilisateurs doivent se méfier lors de l’ouverture de pièces jointes non sollicitées ou lors de téléchargements.
Billet inspiré de Researchers exploit Microsoft Word through embedded video, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.