accueil favoris newsletter 
l'information professionnelle des progiciels de gestion intégrés
ACTUALITES RUBRIQUES INTERVIEWS NEWSLETTERS OUTILS INSCRIPTIONS A PROPOS
 
 
DEPECHES    
Winshuttle annonce une nouvelle solution de gestion des conditions de prix
18/10/2019 Cette nouvelle solution SaaS permet aux entreprises de modifier les prix en temps réel et de réagir plus rapidement à l'évolution de la dynamique du marché et de la concurrence.
Sage et Dhatim signent un accord de partenariat
18/10/2019 Dhatim, éditeur français de logiciels, spécialisé dans l'intelligence artificielle, se rapproche de Sage pour mettre Conciliator Expert, une solution de saisie comptable automatisée à 100 % grâce à l'intelligence artific ...
Infor enrichit sa solution de gestion de transport
17/10/2019 Un nouveau module d'expédition d'Infor Nexus Network Transportation Management lui permet désormais d'envoyer des colis dans le monde entier grâce à QAD Precision.
Ouverture de l'offre publique d'achat amicale de Capgemini sur Altran
16/10/2019 À compter d'aujourd'hui 16 octobre 2019, les actionnaires d'Altran Technologies pourront apporter leurs actions à l'offre publique d'achat amicale initiée par Capgemini.
SAP : exit Bill McDermott, welcome Jennifer Morgan et Christian Klein
11/10/2019 Après 10 ans de bons et loyaux services, le PDG de SAP est remercié. Il est remplacé par une co-présidence (un peu comme à ses débuts avec Jim Hagemann-Snabe) américano-européenne : Jennifer Morgan et Christian Klein ?
Bilan positif pour le salon Mobility for Business 2019
10/10/2019 Cette année encore, le salon a atteint ses objectifs : fédérer une communauté autour d'un axe majeur, la mobilité.
Itesoft lance un connecteur pour la dématérialisation des factures en environnement SAP
09/10/2019 Directement intégré à l'application Cloud Itesoft Streamline for Invoices, il gère de façon synchrone l'ensemble des cas métier du traitement des factures. À la clé : des gains en matière de coûts et délais de traitement ...
toutes les dépêches
 
DU COTE DES UTILISATEURS    
Stormshield s'appuie sur Comarch ERP pour accompagner sa croissance
18/10/2019 Stormshield est le leader européen de la protection des infrastructures IT & OT et filiale à 100 % d'Airbus. L'entreprise a retenu Comarch ERP en mode SaaS pour unifier son système d'information, mieux gérer ses ressourc ...
Manpower France met l'Intelligence Artificielle (IA) au cœur de son organisation
02/10/2019 L'entreprise anticipe et accompagne ainsi les mutations du monde du travail en testant en avant-première Aimie, l'Intelligence Artificielle de Sidetrade.
tous les témoignages
 
COMMUNIQUES DE PRESSE    
Algeco digitalise sa facturation clients à l’échelle européenne grâce à Esker
14/10/2019 Esker, un des principaux éditeurs mondiaux de solutions de dématérialisation des documents, a été choisi par Algeco, leader mondial de la construction modulaire, pour automatiser la gestion de ses fac ...
Services clients et Administration des Ventes : Quels axes d’optimisation de la performance ?
01/10/2019 Esker et Citwell, avec la participation de Praxis, présentent les résultats de la première étude sur la maturité des Services Clients / Administration des Ventes en France, réalisée auprès de plus de ...
Esker présente sa technologie d’extraction de données à l’ICDAR, la plus grande conférence mondiale sur l’IA
23/09/2019 Esker, un des principaux éditeurs mondiaux de solutions de dématérialisation des documents, présentera les résultats de ses recherches sur les extractions de données lors de la Conférence Internationa ...
tous les communiqués
 
 
Articles    
Menace : les documents Office peuvent être dangereux
 
12/09/2018 :: Mais nous allons néanmoins continuer à les utiliser... : nous utilisons quasiment tous des documents Microsoft Office. Qu'il s'agisse de documents de travail, de reçus électroniques ou du bail d'un nouvel appartement, les documents Office sont utiles à chacun d'entre nous et c'est en partie la raison pour laquelle nous sommes susceptibles de les ouvrir lorsque nous en recevons en pièce jointe d'un e-mail.

Connaissant la propension de nombreux utilisateurs à ouvrir la quasi-totalité des documents, même ceux provenant d'une source non fiable, des individus malintentionnés choisissent couramment ces fichiers pour attaquer et infecter un système. Nous allons ici passer en revue cinq techniques différentes permettant de détourner les documents Office pour en faire des armes d'attaque et d'infection des postes de travail Windows. Nous en avons déjà évoqué certaines précédemment, tandis que d'autres sont nouvelles.

Macros

Les macros sont le moyen le plus simple pour un assaillant d'infecter des documents Office. Les applications Office intègrent un moteur de scripts capable d'exécuter le langage VBA (Visual Basic for Applications). Du code malveillant contenu dans ces scripts peut ainsi s'exécuter sur le système dès l'ouverture du document, sans aucune intervention de l'utilisateur (à condition toutefois que ce dernier ait au préalable activé les macros). Si l'utilisateur n'a pas activé les macros, un message apparaît pour lui demander s'il souhaite le faire. Il s'agit de l'un des divers mécanismes de sécurité mis en place par Microsoft afin d'atténuer le risque présenté par les macros. Microsoft impose également une autre extension de nom de fichier (.docm au lieu de .docx pour les nouveaux documents contenant des macros). En dépit de ces mesures de sécurité, des utilisateurs décident néanmoins d'ouvrir ces fichiers et d'activer leur contenu, de sorte que les macros demeurent un vecteur courant, aussi bien pour des attaques vastes et simples destinées à propager un ransomware, telles que Emotet, que pour des campagnes élaborées, à l'image de Sofacy.

Comme l'illustre cet exemple, les auteurs des attaques tentent de convaincre les utilisateurs de désactiver les mécanismes de sécurité mis en place par Microsoft. Ils usent, pour ce faire, de techniques d'ingénierie sociale, persuadant l'utilisateur d'activer le contenu afin de pouvoir consulter l'intégralité du document. Dans l'exemple Sofacy, les assaillants ont simplement coloré le texte en blanc, de sorte que celui-ci était bien présent avant que l'utilisateur n'active les macros, mais invisible.

Fichiers Flash incorporés

En dehors des fonctionnalités intégrées telles que les macros, les documents Office peuvent aussi incorporer des objets externes, par exemple des fichiers Adobe Flash. Ces objets étant transmis au logiciel approprié pour leur traitement, toute vulnérabilité éventuellement présente dans ce logiciel peut également être exploitée par son incorporation dans le contenu Adobe Flash à l'intérieur du document Office. Un exemple de ce vecteur d'attaque est la faille Zero Day CVE-2018-4878 dans Adobe Flash Player, exploitée par l'incorporation de fichiers SWF malveillants dans des documents Excel. Dans les attaques de ce type, le document Excel infecté incorpore un contenu Adobe Flash capable de déclencher la vulnérabilité Flash et d'exécuter du code shell intégré.

Editeur d'équations Microsoft

Comme pour les fichiers Adobe Flash incorporés dans un document Office, il est également possible d'insérer dans des documents des équations mathématiques qui seront interprétées par l'éditeur d'équations Microsoft, un outil ayant pour vocation de faciliter leur écriture : comme dans notre exemple précédent, des vulnérabilités dans l'éditeur d'équations peuvent être exploitées par l'intermédiaire de documents Office malveillants. Nous en avons observé des cas tout récemment lorsque la faille CVE-2017-11882 a été exploitée, ouvrant la voie à d'autres, telles que CVE-2018-0802. Toutes deux touchent l'éditeur d'équations, ce qui permet d'amener l'utilisateur à ouvrir un document Office pour l'exécution de code à distance. Bien qu'elles n'aient pas encore été observées, des vulnérabilités similaires dans l'éditeur d'équations Microsoft, telles que CVE-2018-0807 et CVE-2018-0798, ont été identifiées par les chercheurs de l'Unité 42.

Il est à noter que, l'éditeur d'équations Microsoft s'exécutant sous la forme d'un processus distinct (eqnedt32.exe), les protections spécifiques à Microsoft Office, telles que EMET et Windows Defender Exploit Guard ne sont pas efficaces par défaut, car elles protègent uniquement les processus Microsoft Office (par exemple winword.exe).

Objets OLE et handlers HTA

Les objets OLE et les handlers HTA sont des mécanismes employés par les documents Office pour faire référence à d'autres documents inclus dans leur contenu. Ils peuvent servir à infecter un poste de travail de la manière suivante :

- Un objet OLE2 (lien) est incorporé dans un document Microsoft Word ;
- Une fois le document ouvert, le processus Word (winword.exe) envoie une requête HTTP à un serveur distant afin de télécharger un fichier HTA contenant un script malveillant ;
- Winword.exe recherche alors dans le handler le type "application/hta" via un objet COM, ce qui entraîne le chargement et l'exécution du script malveillant par l'application Microsoft HTA (mshta.exe).

Cette fonctionnalité a été exploitée dans la vulnérabilité CVE-2017-0199, permettant l'exécution de code à distance dans Microsoft Office/WordPad et corrigée par Microsoft en septembre 2017. Diverses campagnes y ont eu recours, par exemple OilRig.

Aux côtés des vulnérabilités OLE et HTA décrites plus haut, les auteurs des attaques ont découvert que des fichiers RTF peuvent également exécuter des objets OLE de type mime "text/html", au moyen de MSHTML. Cela signifie que les documents RTF présentent la même vulnérabilité aux attaques qu'Internet Explorer.

L'exploitation de cette vulnérabilité logique, nommée CVE-2018-8174, permet aux auteurs d'attaques d'exécuter du code HTML/JavaScript/VBScript arbitraire. Tandis que le code exécuté de cette façon est placé dans une "sandbox" (où il ne peut lancer de nouveaux processus, écrire dans le système de fichiers ou effectuer d'autres opérations) à l'instar de tout autre code exécuté à partir d'Internet Explorer, cette faille peut servir à en exploiter d'autres, par exemple une vulnérabilité UAF de corruption de mémoire dans le moteur VBScript, pour permettre l'exécution de code arbitraire dans le cadre de l'application Word (winword.exe) et la prise de contrôle du système.

Conclusion

Tandis que les attaques utilisant des documents comme vecteur sont courantes depuis plus d'une dizaine d'années, nous observons une augmentation récente de leur fréquence et de leur complexité. Cette tendance pourrait s'expliquer par la difficulté croissante d'exploiter les vulnérabilités des navigateurs en raison du renforcement de leur protection par leurs développeurs. Quoi qu'il en soit, il est important pour les entreprises de savoir comment se défendre contre ces techniques répandus.

Analyse de Unit42, unité de recherches de Palo Alto Networks

 
RECHERCHE    
 
TRADUCTION
...
 
OUTILS    
Inscription Newsletter    
Deux éditions mensuelles gratuites
Inscription Annuaire    
L'annuaire des pros
Publicité    
20000 visiteurs par mois
 
ANNUAIRE  
CASTELIS
IRIUM SOFTWARE
TOPSOLID
APRODIX
E-LEARNING Lyon
Fitnet Manager
EXACT France
MISSLER SOFTWARE
CXP Group
SILOG
INCWO
VARIOPOSITIF
SYXPERIANE
VAISONET
tout l'annuaire
 
TRIBUNE LIBRE
Comment faire face à la pénurie d'ingénieurs informatiques
16/10/2019 Malgré son omniprésence dans notre société actuelle, le numérique peine à recruter. Un décalage dans nos systèmes d'éducation et de formation, mais aussi un déficit d'image qu'il ne tient qu'à nous de faire évoluer.
RPA & BPM : quelques pistes de conseil aux DSI pour décrocher la lune
26/09/2019 La rapidité avec laquelle le marché de l'automatisation des processus robotiques (RPA) décolle pourrait s'apparenter à celle d'une fusée que l'on envoie sur la lune. Les ventes des fournisseurs de RPA s'envolent. Selon l ...
toutes les tribunes libres
 
 
FOCUS ENTREPRISE    
Salons Solutions
 
22, 23 & 24 septembre 2020 - Paris Porte de Versailles - Pavillon 3 EXPOSITION, CONFÉRENCES, ATELIERS ERP, CRM, BI, E-ACHATS, DEMATERIALISATION, ARCHIVAGE EN LIGNE, SDN/INFOTODOC Les prochains Salons Solutions vont regrouper 5 pôles thématique ...
fiche complète de l'entreprise
 
 
erp-infos.com - copyright groupe solutions 2019 - tous droits réservés
Articles
Stormshield s'appuie...
Comment faire face à...
Pour les challengers...
La migration vers S/...
Salons Solutions : u...
Un événement Scorefa...
Manpower France met ...
Dépêches
Winshuttle annonce u...
Sage et Dhatim signe...
Infor enrichit sa so...
Ouverture de l'offre...
SAP : exit Bill McDe...
Bilan positif pour l...
Itesoft lance un con...
Communiqués de presse
Algeco digitalise sa...
Services clients et ...
Esker présente sa te...
Maja FOSTER à la têt...
WORKPLAN, Gestion de...
Esker s’associe à B/...
ATR passe à la factu...
Evénements
SIANE 2019...
Salons Solutions Par...
Salons Solutions 201...
Web-Conférence / Dém...
28/11 Aix-en-P: 5 in...
WorkPLan au salon so...
Promotion vente lice...
erp-infos.com
inscription newsletter
inscription annuaire
qui sommes-nous ?
contacts
publicité
tarifs & conditions
mentions légales
Les autres sites Infopro
E-learning-infos
ERP-infos
Intranet-infos
Eachats-infos
Phonethik