accueil favoris newsletter 
l'information professionnelle des progiciels de gestion intégrés
ACTUALITES RUBRIQUES INTERVIEWS NEWSLETTERS OUTILS INSCRIPTIONS A PROPOS
 
 
DEPECHES    
Les entreprises françaises confirment leur intérêt pour les solutions cloud de Google
18/06/2019 Plénière à l'occasion du Google Cloud Summit de Paris introduite par le PDG de Google Cloud, Thomas Kurian : pour l'événement, les principaux partenaires de l'entreprise étaient réunis en ce 18 juin.
Une fusion gagnante pour une édition qui fera date
18/06/2019 Les cabinets d'études s'accordent pour annoncer que les marchés de l'IoT, du MtoM, des objets connectés et de l'embarqué vont bénéficier d'une pleine croissance durant la prochaine décennie et donc d'investissements mass ...
Version 6.2 pour Coheris CRM
14/06/2019 Univers smartphone enrichi, intelligence artificielle multi-langues et sécurité sont les ingrédients de la dernière version de Coheris CRM 6.2
Année record pour exægis
12/06/2019 Un an après le rachat de la société d'études Markess, exægis, société dont la vocation est de faciliter le financement, le développement et l'investissement des acteurs du secteur, annonce une année record avec une crois ...
Salesforce rachète Tableau
11/06/2019 Et réalise la plus grosse acquisition de son histoire, à 15,7 milliards de dollars. Il s'offre ainsi l'un des éditeurs d'analytique et de visualisation les plus en vue aujourd'hui.
L'éditeur Euro Logiciel passe dans le giron du groupe Oslo
07/06/2019 Avec cette acquisition, Oslo accélère le développement de son offre point de vente tout en diversifiant sa clientèle de professionnels, des petites et moyennes chaînes alimentaires jusqu'aux commerces de proximité en pas ...
Des nouveautés dans Ines CRM
03/06/2019 Signature électronique, optimisation de tournées, nouveau module de téléprospection... l'éditeur a présenté la dernière release de sa solution CRM, mise en ligne quelques jours plus tôt, à l'occasion de l'étape lyonnaise ...
toutes les dépêches
 
DU COTE DES UTILISATEURS    
Quand la robotique transforme le secteur de l'assurance
17/06/2019 Pour mieux répondre aux attentes des clients et faire face aux changements du marché assuranciel, Generali France a choisi Avanade comme intégrateur de solutions RPA (Robotic Process Automation) . Les premiers enseigneme ...
La Redoute veut devenir le premier acteur numérique mode et maison en France
12/06/2019 La Redoute s'appuie sur Bazaarvoice pour capitaliser sur les notes et avis générés par ses client(e-s). En intégrant le Contenu Généré par les Consommateurs (CGC) dans sa stratégie "Customer first", l'acteur entend renfo ...
tous les témoignages
 
COMMUNIQUES DE PRESSE    
Esker et KPMG annoncent un partenariat aux Pays-Bas
17/06/2019 Esker, un des principaux éditeurs mondiaux de solutions de dématérialisation des documents, annonce la signature d’un partenariat avec KPMG Pays-Bas, un des cabinets leaders de l'audit, du conseil et ...
Application mobile de suivi de parc d'outils, collaborative
05/06/2019 Qui n’a pas perdu des machines sur les chantiers, et sans savoir à quel employé la machine a été remise ? Notre application mobile est construite pour artisans et chefs d’entreprises qui veulent im ...
Le Groupe Lapeyre choisit Esker pour digitaliser son cycle Purchase-to-Pay
21/05/2019 Esker, un des principaux éditeurs mondiaux de solutions de dématérialisation des documents, annonce la signature d’un contrat avec le Groupe Lapeyre™, filiale du Groupe Saint-Gobain, spécialisée dans ...
tous les communiqués
 
 
Articles    
Menace : les documents Office peuvent être dangereux
 
12/09/2018 :: Mais nous allons néanmoins continuer à les utiliser... : nous utilisons quasiment tous des documents Microsoft Office. Qu'il s'agisse de documents de travail, de reçus électroniques ou du bail d'un nouvel appartement, les documents Office sont utiles à chacun d'entre nous et c'est en partie la raison pour laquelle nous sommes susceptibles de les ouvrir lorsque nous en recevons en pièce jointe d'un e-mail.

Connaissant la propension de nombreux utilisateurs à ouvrir la quasi-totalité des documents, même ceux provenant d'une source non fiable, des individus malintentionnés choisissent couramment ces fichiers pour attaquer et infecter un système. Nous allons ici passer en revue cinq techniques différentes permettant de détourner les documents Office pour en faire des armes d'attaque et d'infection des postes de travail Windows. Nous en avons déjà évoqué certaines précédemment, tandis que d'autres sont nouvelles.

Macros

Les macros sont le moyen le plus simple pour un assaillant d'infecter des documents Office. Les applications Office intègrent un moteur de scripts capable d'exécuter le langage VBA (Visual Basic for Applications). Du code malveillant contenu dans ces scripts peut ainsi s'exécuter sur le système dès l'ouverture du document, sans aucune intervention de l'utilisateur (à condition toutefois que ce dernier ait au préalable activé les macros). Si l'utilisateur n'a pas activé les macros, un message apparaît pour lui demander s'il souhaite le faire. Il s'agit de l'un des divers mécanismes de sécurité mis en place par Microsoft afin d'atténuer le risque présenté par les macros. Microsoft impose également une autre extension de nom de fichier (.docm au lieu de .docx pour les nouveaux documents contenant des macros). En dépit de ces mesures de sécurité, des utilisateurs décident néanmoins d'ouvrir ces fichiers et d'activer leur contenu, de sorte que les macros demeurent un vecteur courant, aussi bien pour des attaques vastes et simples destinées à propager un ransomware, telles que Emotet, que pour des campagnes élaborées, à l'image de Sofacy.

Comme l'illustre cet exemple, les auteurs des attaques tentent de convaincre les utilisateurs de désactiver les mécanismes de sécurité mis en place par Microsoft. Ils usent, pour ce faire, de techniques d'ingénierie sociale, persuadant l'utilisateur d'activer le contenu afin de pouvoir consulter l'intégralité du document. Dans l'exemple Sofacy, les assaillants ont simplement coloré le texte en blanc, de sorte que celui-ci était bien présent avant que l'utilisateur n'active les macros, mais invisible.

Fichiers Flash incorporés

En dehors des fonctionnalités intégrées telles que les macros, les documents Office peuvent aussi incorporer des objets externes, par exemple des fichiers Adobe Flash. Ces objets étant transmis au logiciel approprié pour leur traitement, toute vulnérabilité éventuellement présente dans ce logiciel peut également être exploitée par son incorporation dans le contenu Adobe Flash à l'intérieur du document Office. Un exemple de ce vecteur d'attaque est la faille Zero Day CVE-2018-4878 dans Adobe Flash Player, exploitée par l'incorporation de fichiers SWF malveillants dans des documents Excel. Dans les attaques de ce type, le document Excel infecté incorpore un contenu Adobe Flash capable de déclencher la vulnérabilité Flash et d'exécuter du code shell intégré.

Editeur d'équations Microsoft

Comme pour les fichiers Adobe Flash incorporés dans un document Office, il est également possible d'insérer dans des documents des équations mathématiques qui seront interprétées par l'éditeur d'équations Microsoft, un outil ayant pour vocation de faciliter leur écriture : comme dans notre exemple précédent, des vulnérabilités dans l'éditeur d'équations peuvent être exploitées par l'intermédiaire de documents Office malveillants. Nous en avons observé des cas tout récemment lorsque la faille CVE-2017-11882 a été exploitée, ouvrant la voie à d'autres, telles que CVE-2018-0802. Toutes deux touchent l'éditeur d'équations, ce qui permet d'amener l'utilisateur à ouvrir un document Office pour l'exécution de code à distance. Bien qu'elles n'aient pas encore été observées, des vulnérabilités similaires dans l'éditeur d'équations Microsoft, telles que CVE-2018-0807 et CVE-2018-0798, ont été identifiées par les chercheurs de l'Unité 42.

Il est à noter que, l'éditeur d'équations Microsoft s'exécutant sous la forme d'un processus distinct (eqnedt32.exe), les protections spécifiques à Microsoft Office, telles que EMET et Windows Defender Exploit Guard ne sont pas efficaces par défaut, car elles protègent uniquement les processus Microsoft Office (par exemple winword.exe).

Objets OLE et handlers HTA

Les objets OLE et les handlers HTA sont des mécanismes employés par les documents Office pour faire référence à d'autres documents inclus dans leur contenu. Ils peuvent servir à infecter un poste de travail de la manière suivante :

- Un objet OLE2 (lien) est incorporé dans un document Microsoft Word ;
- Une fois le document ouvert, le processus Word (winword.exe) envoie une requête HTTP à un serveur distant afin de télécharger un fichier HTA contenant un script malveillant ;
- Winword.exe recherche alors dans le handler le type "application/hta" via un objet COM, ce qui entraîne le chargement et l'exécution du script malveillant par l'application Microsoft HTA (mshta.exe).

Cette fonctionnalité a été exploitée dans la vulnérabilité CVE-2017-0199, permettant l'exécution de code à distance dans Microsoft Office/WordPad et corrigée par Microsoft en septembre 2017. Diverses campagnes y ont eu recours, par exemple OilRig.

Aux côtés des vulnérabilités OLE et HTA décrites plus haut, les auteurs des attaques ont découvert que des fichiers RTF peuvent également exécuter des objets OLE de type mime "text/html", au moyen de MSHTML. Cela signifie que les documents RTF présentent la même vulnérabilité aux attaques qu'Internet Explorer.

L'exploitation de cette vulnérabilité logique, nommée CVE-2018-8174, permet aux auteurs d'attaques d'exécuter du code HTML/JavaScript/VBScript arbitraire. Tandis que le code exécuté de cette façon est placé dans une "sandbox" (où il ne peut lancer de nouveaux processus, écrire dans le système de fichiers ou effectuer d'autres opérations) à l'instar de tout autre code exécuté à partir d'Internet Explorer, cette faille peut servir à en exploiter d'autres, par exemple une vulnérabilité UAF de corruption de mémoire dans le moteur VBScript, pour permettre l'exécution de code arbitraire dans le cadre de l'application Word (winword.exe) et la prise de contrôle du système.

Conclusion

Tandis que les attaques utilisant des documents comme vecteur sont courantes depuis plus d'une dizaine d'années, nous observons une augmentation récente de leur fréquence et de leur complexité. Cette tendance pourrait s'expliquer par la difficulté croissante d'exploiter les vulnérabilités des navigateurs en raison du renforcement de leur protection par leurs développeurs. Quoi qu'il en soit, il est important pour les entreprises de savoir comment se défendre contre ces techniques répandus.

Analyse de Unit42, unité de recherches de Palo Alto Networks

 
RECHERCHE    
 
TRADUCTION
...
 
OUTILS    
Inscription Newsletter    
Deux éditions mensuelles gratuites
Inscription Annuaire    
L'annuaire des pros
Publicité    
20000 visiteurs par mois
 
ANNUAIRE  
TOPSOLID
APRODIX
E-LEARNING Lyon
Fitnet Manager
EXACT France
MISSLER SOFTWARE
CXP Group
SILOG
INCWO
VARIOPOSITIF
SYXPERIANE
VAISONET
VERYSWING
ATHENEO by Mismo
tout l'annuaire
 
TRIBUNE LIBRE
Anticiper son archivage avant de migrer vers SAP S/4HANA
17/06/2019 La date de fin de système historique ECC de SAP est annoncée par l'éditeur à horizon 2025. La migration ou le passage vers le système de nouvelle génération S/4HANA devient une réalité concrète pour la majorité des entre ...
Quelle place pour l'ERP ces prochaines années ?
14/06/2019 Les systèmes informatiques ne cessent de se développer et de gagner en fonctionnalités pour permettre aux entreprises de mener à bien leurs opérations et d'offrir à leurs collaborateurs des outils générateurs de confort ...
toutes les tribunes libres
 
 
FOCUS ENTREPRISE    
Salons Solutions
 
1er, 2 & 3 octobre 2019 - Paris Porte de Versailles - Pavillon 2.2 EXPOSITION, CONFÉRENCES, ATELIERS ERP, CRM, BI, E-ACHATS, DEMATERIALISATION, ARCHIVAGE EN LIGNE, SDN/INFOTODOC, SERVEURS & APPLICATIONS Les prochains Salons Solutions vont regr ...
fiche complète de l'entreprise
 
 
erp-infos.com - copyright groupe solutions 2019 - tous droits réservés
Articles
Quand la robotique t...
Anticiper son archiv...
Un horizon toujours ...
L'innovation numériq...
L'APM dans la pratiq...
Quelle place pour l'...
Comment sécuriser le...
Dépêches
Les entreprises fran...
Une fusion gagnante ...
Version 6.2 pour Coh...
Année record pour ex...
Salesforce rachète T...
L'éditeur Euro Logic...
Des nouveautés dans ...
Communiqués de presse
Esker et KPMG annonc...
Application mobile d...
Le Groupe Lapeyre ch...
HighCo dématérialise...
Ça bouge chez CalvaE...
Sans ERP : commandes...
Esker certifiée poin...
Evénements
Salons Solutions 201...
Web-Conférence / Dém...
28/11 Aix-en-P: 5 in...
WorkPLan au salon so...
Promotion vente lice...
Application mobile e...
Afterwork - Piloter ...
erp-infos.com
inscription newsletter
inscription annuaire
qui sommes-nous ?
contacts
publicité
tarifs & conditions
mentions légales
Les autres sites Infopro
E-learning-infos
ERP-infos
Intranet-infos
Eachats-infos
Phonethik