accueil favoris newsletter 
l'information professionnelle des progiciels de gestion intégrés
ACTUALITES RUBRIQUES INTERVIEWS NEWSLETTERS OUTILS INSCRIPTIONS A PROPOS
 
 
DEPECHES    
Intelligence artificielle : une menace pour nos emplois ?
20/09/2018 La parution de l'étude "l'impact de la révolution digitale sur l'emploi", menée par l'Institut Sapiens, semble sonner le glas de certaines visions optimistes. Chiffres à l'appui, elle montre qu'avec l'avènement de l'Inte ...
Le groupe Emplio acquiert 100 % de Kimoce
20/09/2018 L'éditeur des fonctions support (Achats, FM, SAV et maintenance) Kimoce annonce son entrée dans le Groupe Emplio, ESN spécialisée dans l'édition et l'intégration de solutions IT destinées aux PME/PMI et collectivités loc ...
Salesforce enrichit sa plateforme Sales Cloud
19/09/2018 Quelques jours avant Dreamforce, qui se tiendra à San Francisco du 25 au 28 septembre, l'éditeur a dévoilé de nouvelles fonctionnalités de prospection accélérée, de facturation flexible et d'automatisation intelligente d ...
De nouvelles fonctionnalités pour SAP Analytics Cloud
19/09/2018 L'éditeur vient d'annoncer l'enrichissement de sa solution avec du machine learning pour dévoiler des corrélations entre les données d'une organisation. L'annonce a été faite lors de la Conférence Strata Data, organisée ...
Une majorité d'entreprises échouent à se conformer au RGPD
16/09/2018 Selon une étude de Talend, 70 % des entreprises sondées n'ont pas pu répondre aux demandes d'accès aux données personnelles et de portabilité dans le délai imparti d'un mois à compter de la réception de la demande.
b.workshop intègre Netsuite dans son offre
13/09/2018 La société de conseil en solutions ERP fait d'Oracle Netsuite un axe stratégique de développement et compte accompagner les entreprises qui choisissent d'utiliser l'ERP dans le cloud pour supporter leur croissance et leu ...
Information Builders dévoile la nouvelle plate-forme WebFocus
12/09/2018 L'éditeur lance sa nouvelle plate-forme analytique et de BI, dotée d'une nouvelle interface utilisateur et d'un workflow intuitif pour automatiser et simplifier les tâches complexes.
toutes les dépêches
 
DU COTE DES UTILISATEURS    
Le Grand Port Maritime de Marseille éradique ses spams
12/09/2018 Le Grand Port Maritime de Marseille (GPMM), anciennement connu comme "port autonome de Marseille" (PAM), est un établissement public français qui exerce conjointement des missions de service public administratif, industr ...
S/4 HANA déployé par l'assureur-crédit Coface
27/06/2018 L'assurance-crédit internationale doit respecter de nombreuses réglementations. Pour doter son informatique de la flexibilité et des performances indispensables, Coface fait confiance à SAP pour optimiser sa comptabilité ...
tous les témoignages
 
COMMUNIQUES DE PRESSE    
Digitalisation des achats : Esker renforce son offre Purchase-to-Pay avec l’intégration des catalogues de fournisseurs externes
24/09/2018 A l’occasion des Salons Solutions (24, 25 et 26 septembre 2018 – Paris, Porte de Versailles), Esker, un des principaux éditeurs mondiaux de solutions de dématérialisation des documents, annonce l’inté ...
Esker renforce son engagement auprès de l’INSA de Lyon en parrainant la promotion 2021 du Département Informatique
20/09/2018 Dans le cadre de son développement, Esker, un des principaux éditeurs mondiaux de solutions de dématérialisation des documents en mode Cloud recrute depuis plusieurs années des étudiants en informatiq ...
Kärcher North America Inc. choisit Esker pour automatiser la gestion de ses commandes grâce à sa solution basée sur des technologies d’IA
11/09/2018 Esker, un des principaux éditeurs mondiaux de solutions de dématérialisation des documents en mode Cloud, a été choisi par Kärcher North America, leader dans la fabrication et la commercialisation des ...
tous les communiqués
 
 
Articles    
Menace : les documents Office peuvent être dangereux
 
12/09/2018 :: Mais nous allons néanmoins continuer à les utiliser... : nous utilisons quasiment tous des documents Microsoft Office. Qu'il s'agisse de documents de travail, de reçus électroniques ou du bail d'un nouvel appartement, les documents Office sont utiles à chacun d'entre nous et c'est en partie la raison pour laquelle nous sommes susceptibles de les ouvrir lorsque nous en recevons en pièce jointe d'un e-mail.

Connaissant la propension de nombreux utilisateurs à ouvrir la quasi-totalité des documents, même ceux provenant d'une source non fiable, des individus malintentionnés choisissent couramment ces fichiers pour attaquer et infecter un système. Nous allons ici passer en revue cinq techniques différentes permettant de détourner les documents Office pour en faire des armes d'attaque et d'infection des postes de travail Windows. Nous en avons déjà évoqué certaines précédemment, tandis que d'autres sont nouvelles.

Macros

Les macros sont le moyen le plus simple pour un assaillant d'infecter des documents Office. Les applications Office intègrent un moteur de scripts capable d'exécuter le langage VBA (Visual Basic for Applications). Du code malveillant contenu dans ces scripts peut ainsi s'exécuter sur le système dès l'ouverture du document, sans aucune intervention de l'utilisateur (à condition toutefois que ce dernier ait au préalable activé les macros). Si l'utilisateur n'a pas activé les macros, un message apparaît pour lui demander s'il souhaite le faire. Il s'agit de l'un des divers mécanismes de sécurité mis en place par Microsoft afin d'atténuer le risque présenté par les macros. Microsoft impose également une autre extension de nom de fichier (.docm au lieu de .docx pour les nouveaux documents contenant des macros). En dépit de ces mesures de sécurité, des utilisateurs décident néanmoins d'ouvrir ces fichiers et d'activer leur contenu, de sorte que les macros demeurent un vecteur courant, aussi bien pour des attaques vastes et simples destinées à propager un ransomware, telles que Emotet, que pour des campagnes élaborées, à l'image de Sofacy.

Comme l'illustre cet exemple, les auteurs des attaques tentent de convaincre les utilisateurs de désactiver les mécanismes de sécurité mis en place par Microsoft. Ils usent, pour ce faire, de techniques d'ingénierie sociale, persuadant l'utilisateur d'activer le contenu afin de pouvoir consulter l'intégralité du document. Dans l'exemple Sofacy, les assaillants ont simplement coloré le texte en blanc, de sorte que celui-ci était bien présent avant que l'utilisateur n'active les macros, mais invisible.

Fichiers Flash incorporés

En dehors des fonctionnalités intégrées telles que les macros, les documents Office peuvent aussi incorporer des objets externes, par exemple des fichiers Adobe Flash. Ces objets étant transmis au logiciel approprié pour leur traitement, toute vulnérabilité éventuellement présente dans ce logiciel peut également être exploitée par son incorporation dans le contenu Adobe Flash à l'intérieur du document Office. Un exemple de ce vecteur d'attaque est la faille Zero Day CVE-2018-4878 dans Adobe Flash Player, exploitée par l'incorporation de fichiers SWF malveillants dans des documents Excel. Dans les attaques de ce type, le document Excel infecté incorpore un contenu Adobe Flash capable de déclencher la vulnérabilité Flash et d'exécuter du code shell intégré.

Editeur d'équations Microsoft

Comme pour les fichiers Adobe Flash incorporés dans un document Office, il est également possible d'insérer dans des documents des équations mathématiques qui seront interprétées par l'éditeur d'équations Microsoft, un outil ayant pour vocation de faciliter leur écriture : comme dans notre exemple précédent, des vulnérabilités dans l'éditeur d'équations peuvent être exploitées par l'intermédiaire de documents Office malveillants. Nous en avons observé des cas tout récemment lorsque la faille CVE-2017-11882 a été exploitée, ouvrant la voie à d'autres, telles que CVE-2018-0802. Toutes deux touchent l'éditeur d'équations, ce qui permet d'amener l'utilisateur à ouvrir un document Office pour l'exécution de code à distance. Bien qu'elles n'aient pas encore été observées, des vulnérabilités similaires dans l'éditeur d'équations Microsoft, telles que CVE-2018-0807 et CVE-2018-0798, ont été identifiées par les chercheurs de l'Unité 42.

Il est à noter que, l'éditeur d'équations Microsoft s'exécutant sous la forme d'un processus distinct (eqnedt32.exe), les protections spécifiques à Microsoft Office, telles que EMET et Windows Defender Exploit Guard ne sont pas efficaces par défaut, car elles protègent uniquement les processus Microsoft Office (par exemple winword.exe).

Objets OLE et handlers HTA

Les objets OLE et les handlers HTA sont des mécanismes employés par les documents Office pour faire référence à d'autres documents inclus dans leur contenu. Ils peuvent servir à infecter un poste de travail de la manière suivante :

- Un objet OLE2 (lien) est incorporé dans un document Microsoft Word ;
- Une fois le document ouvert, le processus Word (winword.exe) envoie une requête HTTP à un serveur distant afin de télécharger un fichier HTA contenant un script malveillant ;
- Winword.exe recherche alors dans le handler le type "application/hta" via un objet COM, ce qui entraîne le chargement et l'exécution du script malveillant par l'application Microsoft HTA (mshta.exe).

Cette fonctionnalité a été exploitée dans la vulnérabilité CVE-2017-0199, permettant l'exécution de code à distance dans Microsoft Office/WordPad et corrigée par Microsoft en septembre 2017. Diverses campagnes y ont eu recours, par exemple OilRig.

Aux côtés des vulnérabilités OLE et HTA décrites plus haut, les auteurs des attaques ont découvert que des fichiers RTF peuvent également exécuter des objets OLE de type mime "text/html", au moyen de MSHTML. Cela signifie que les documents RTF présentent la même vulnérabilité aux attaques qu'Internet Explorer.

L'exploitation de cette vulnérabilité logique, nommée CVE-2018-8174, permet aux auteurs d'attaques d'exécuter du code HTML/JavaScript/VBScript arbitraire. Tandis que le code exécuté de cette façon est placé dans une "sandbox" (où il ne peut lancer de nouveaux processus, écrire dans le système de fichiers ou effectuer d'autres opérations) à l'instar de tout autre code exécuté à partir d'Internet Explorer, cette faille peut servir à en exploiter d'autres, par exemple une vulnérabilité UAF de corruption de mémoire dans le moteur VBScript, pour permettre l'exécution de code arbitraire dans le cadre de l'application Word (winword.exe) et la prise de contrôle du système.

Conclusion

Tandis que les attaques utilisant des documents comme vecteur sont courantes depuis plus d'une dizaine d'années, nous observons une augmentation récente de leur fréquence et de leur complexité. Cette tendance pourrait s'expliquer par la difficulté croissante d'exploiter les vulnérabilités des navigateurs en raison du renforcement de leur protection par leurs développeurs. Quoi qu'il en soit, il est important pour les entreprises de savoir comment se défendre contre ces techniques répandus.

Analyse de Unit42, unité de recherches de Palo Alto Networks

 
RECHERCHE    
 
TRADUCTION
...
 
OUTILS    
Inscription Newsletter    
Deux éditions mensuelles gratuites
Inscription Annuaire    
L'annuaire des pros
Publicité    
20000 visiteurs par mois
 
ANNUAIRE  
Fitnet Manager
EXACT France
MISSLER SOFTWARE
CXP Group
SILOG
INCWO
VARIOPOSITIF
SYXPERIANE
VAISONET
VERYSWING
ATHENEO by Mismo
FITNET MANAGER
VERO Software
SHORTWAYS
tout l'annuaire
 
TRIBUNE LIBRE
Menace : les documents Office peuvent être dangereux
12/09/2018 Mais nous allons néanmoins continuer à les utiliser... : nous utilisons quasiment tous des documents Microsoft Office. Qu'il s'agisse de documents de travail, de reçus électroniques ou du bail d'un nouvel appartement, le ...
4 pratiques pour reprendre le contrôle des indemnités kilométriques
12/09/2018 Les frais kilométriques sont un véritable casse-tête pour les DAF, tributaires des estimations de leurs collaborateurs pour effectuer les remboursements. Ils figurent aujourd'hui parmi les dix premières catégories de dép ...
toutes les tribunes libres
 
 
FOCUS ENTREPRISE    
Salons Solutions
 
24, 25 & 26 septembre 2018 - Paris Porte de Versailles - Pavillon 2.2 EXPOSITION, CONFÉRENCES, ATELIERS ERP, CRM, BI, E-ACHATS, DEMATERIALISATION, ARCHIVAGE EN LIGNE, SDN/INFOTODOC, SERVEURS & APPLICATIONS Les prochains Salons Solutions vont r ...
fiche complète de l'entreprise
 
 
erp-infos.com - copyright groupe solutions 2018 - tous droits réservés
Articles
Un nouveau support d...
ERP et IoT : une att...
Menace : les documen...
4 pratiques pour rep...
Le Grand Port Mariti...
Diversifiées et four...
Existe-t-il des exem...
Dépêches
Intelligence artific...
Le groupe Emplio acq...
Salesforce enrichit ...
De nouvelles fonctio...
Une majorité d'entre...
b.workshop intègre N...
Information Builders...
Communiqués de presse
Digitalisation des a...
Esker renforce son e...
Kärcher North Americ...
Esker emménage dans ...
Esker poursuit son d...
Esker partenaire de ...
WorkPLAN Solutions, ...
Evénements
Salons Solutions 201...
Web-Conférence / Dém...
28/11 Aix-en-P: 5 in...
WorkPLan au salon so...
Promotion vente lice...
Application mobile e...
Afterwork - Piloter ...
erp-infos.com
inscription newsletter
inscription annuaire
qui sommes-nous ?
contacts
publicité
tarifs & conditions
mentions légales
Les autres sites Infopro
E-learning-infos
ERP-infos
Intranet-infos
Eachats-infos
Phonethik