accueil favoris newsletter 
l'information professionnelle des progiciels de gestion intégrés
ACTUALITES RUBRIQUES INTERVIEWS NEWSLETTERS OUTILS INSCRIPTIONS A PROPOS
 
 
DEPECHES    
La CNIL prononce une sanction de 50 millions d'euros à l'encontre de Google
21/01/2019 La formation restreinte de la CNIL a prononcé une sanction record de 50 millions d'euros à l'encontre de la société Google LLC en application du RGPD pour manque de transparence, information insatisfaisante et absence de ...
Infor annonce un investissement d'1,5 milliard de dollars
16/01/2019 L'éditeur annonce avoir conclu un accord lui permettant de percevoir un investissement provenant de ses actionnaires Koch Equity Development, LLC (KED) et Golden Gate Capital, avant une éventuelle introduction en bourse.
Salesforce enrichit Commerce Cloud
16/01/2019 De nouvelles API et de nouveaux services développeurs offrent la possibilité aux marques d'aller au-delà de leurs sites de vente en ligne et de moderniser chaque expérience d'achat (applications, réseaux sociaux, assista ...
Hommage à Bruno Vanryb
14/01/2019 C'est avec beaucoup de tristesse que nous avons appris la disparition de Bruno Vanryb, le 12 janvier, à l'âge de 61 ans. Fondateur notamment d'Avanquest, Bruno Vanryb était une figure emblématique de l'entrepreneuriat et ...
Blockchain en France : que nous disent les levées de fonds
10/01/2019 Cliquez sur l'image ci-dessous pour l'agrandir et visualiser la dernière infographie de Futurs.io, l'agence de conseil, de production et de communication du groupe Maltem dédiée aux technologies et aux usages innovants, ...
L'expérience, enjeu clé de l'innovation des organisations
10/01/2019 L'institut d'études a ce mois-ci interrogé les Français sur l'innovation et les tendances "retail". Le "Rendez-vous de l'innovation" réalisé en partenariat avec Saegus, SAP, Stratégies, BFM-Business, 01 net et l'Usine no ...
Eureka Solutions lance la version 7 de son ERP
09/01/2019 L'éditeur joue la carte de l'innovation en annonçant la disponibilité immédiate de la nouvelle version de sa solution Eureka ERP intégrant de l'intelligence artificielle.
toutes les dépêches
 
DU COTE DES UTILISATEURS    
L'EISTI redonne la main aux utilisateurs pour le reporting
26/12/2018 Avec les HANA Rapid Views de Decivision, l'école d'ingénieurs booste les possibilités analytiques de SAP HANA.
Vinci Energies migre vers S/4HANA
17/12/2018 En raison d'une forte croissance externe, Vinci Energies a souhaité regrouper ses activités sur un ERP unique. Le groupe est ensuite passé sur S/4HANA afin de bénéficier des innovations apportées par la plate-forme. Une ...
tous les témoignages
 
COMMUNIQUES DE PRESSE    
Esker certifiée point d’accès pour la plateforme PEPPOL par l’IMDA à Singapour
10/01/2019 Esker, un des principaux éditeurs mondiaux de solutions de dématérialisation des documents, annonce son autorisation en tant que point d’accès PEPPOL par l’agence gouvernementale singapourienne IMDA ( ...
Hays passe à 2/3 de factures électroniques grâce à Esker
07/01/2019 Esker, un des principaux éditeurs mondiaux de solutions de dématérialisation des documents, a été choisi par Hays, leader mondial du recrutement et spécialiste du travail temporaire, pour sa solution ...
Esker nommée dans le Top FL100+ 2018 des éditeurs de solutions par Food Logistics
17/12/2018 Esker, un des principaux éditeurs mondiaux de solutions de dématérialisation basées sur les technologies d’Intelligence Artificielle, maintient sa position dans le TOP FL100+ des éditeurs de solutions ...
tous les communiqués
 
 
Articles    
Menace : les documents Office peuvent être dangereux
 
12/09/2018 :: Mais nous allons néanmoins continuer à les utiliser... : nous utilisons quasiment tous des documents Microsoft Office. Qu'il s'agisse de documents de travail, de reçus électroniques ou du bail d'un nouvel appartement, les documents Office sont utiles à chacun d'entre nous et c'est en partie la raison pour laquelle nous sommes susceptibles de les ouvrir lorsque nous en recevons en pièce jointe d'un e-mail.

Connaissant la propension de nombreux utilisateurs à ouvrir la quasi-totalité des documents, même ceux provenant d'une source non fiable, des individus malintentionnés choisissent couramment ces fichiers pour attaquer et infecter un système. Nous allons ici passer en revue cinq techniques différentes permettant de détourner les documents Office pour en faire des armes d'attaque et d'infection des postes de travail Windows. Nous en avons déjà évoqué certaines précédemment, tandis que d'autres sont nouvelles.

Macros

Les macros sont le moyen le plus simple pour un assaillant d'infecter des documents Office. Les applications Office intègrent un moteur de scripts capable d'exécuter le langage VBA (Visual Basic for Applications). Du code malveillant contenu dans ces scripts peut ainsi s'exécuter sur le système dès l'ouverture du document, sans aucune intervention de l'utilisateur (à condition toutefois que ce dernier ait au préalable activé les macros). Si l'utilisateur n'a pas activé les macros, un message apparaît pour lui demander s'il souhaite le faire. Il s'agit de l'un des divers mécanismes de sécurité mis en place par Microsoft afin d'atténuer le risque présenté par les macros. Microsoft impose également une autre extension de nom de fichier (.docm au lieu de .docx pour les nouveaux documents contenant des macros). En dépit de ces mesures de sécurité, des utilisateurs décident néanmoins d'ouvrir ces fichiers et d'activer leur contenu, de sorte que les macros demeurent un vecteur courant, aussi bien pour des attaques vastes et simples destinées à propager un ransomware, telles que Emotet, que pour des campagnes élaborées, à l'image de Sofacy.

Comme l'illustre cet exemple, les auteurs des attaques tentent de convaincre les utilisateurs de désactiver les mécanismes de sécurité mis en place par Microsoft. Ils usent, pour ce faire, de techniques d'ingénierie sociale, persuadant l'utilisateur d'activer le contenu afin de pouvoir consulter l'intégralité du document. Dans l'exemple Sofacy, les assaillants ont simplement coloré le texte en blanc, de sorte que celui-ci était bien présent avant que l'utilisateur n'active les macros, mais invisible.

Fichiers Flash incorporés

En dehors des fonctionnalités intégrées telles que les macros, les documents Office peuvent aussi incorporer des objets externes, par exemple des fichiers Adobe Flash. Ces objets étant transmis au logiciel approprié pour leur traitement, toute vulnérabilité éventuellement présente dans ce logiciel peut également être exploitée par son incorporation dans le contenu Adobe Flash à l'intérieur du document Office. Un exemple de ce vecteur d'attaque est la faille Zero Day CVE-2018-4878 dans Adobe Flash Player, exploitée par l'incorporation de fichiers SWF malveillants dans des documents Excel. Dans les attaques de ce type, le document Excel infecté incorpore un contenu Adobe Flash capable de déclencher la vulnérabilité Flash et d'exécuter du code shell intégré.

Editeur d'équations Microsoft

Comme pour les fichiers Adobe Flash incorporés dans un document Office, il est également possible d'insérer dans des documents des équations mathématiques qui seront interprétées par l'éditeur d'équations Microsoft, un outil ayant pour vocation de faciliter leur écriture : comme dans notre exemple précédent, des vulnérabilités dans l'éditeur d'équations peuvent être exploitées par l'intermédiaire de documents Office malveillants. Nous en avons observé des cas tout récemment lorsque la faille CVE-2017-11882 a été exploitée, ouvrant la voie à d'autres, telles que CVE-2018-0802. Toutes deux touchent l'éditeur d'équations, ce qui permet d'amener l'utilisateur à ouvrir un document Office pour l'exécution de code à distance. Bien qu'elles n'aient pas encore été observées, des vulnérabilités similaires dans l'éditeur d'équations Microsoft, telles que CVE-2018-0807 et CVE-2018-0798, ont été identifiées par les chercheurs de l'Unité 42.

Il est à noter que, l'éditeur d'équations Microsoft s'exécutant sous la forme d'un processus distinct (eqnedt32.exe), les protections spécifiques à Microsoft Office, telles que EMET et Windows Defender Exploit Guard ne sont pas efficaces par défaut, car elles protègent uniquement les processus Microsoft Office (par exemple winword.exe).

Objets OLE et handlers HTA

Les objets OLE et les handlers HTA sont des mécanismes employés par les documents Office pour faire référence à d'autres documents inclus dans leur contenu. Ils peuvent servir à infecter un poste de travail de la manière suivante :

- Un objet OLE2 (lien) est incorporé dans un document Microsoft Word ;
- Une fois le document ouvert, le processus Word (winword.exe) envoie une requête HTTP à un serveur distant afin de télécharger un fichier HTA contenant un script malveillant ;
- Winword.exe recherche alors dans le handler le type "application/hta" via un objet COM, ce qui entraîne le chargement et l'exécution du script malveillant par l'application Microsoft HTA (mshta.exe).

Cette fonctionnalité a été exploitée dans la vulnérabilité CVE-2017-0199, permettant l'exécution de code à distance dans Microsoft Office/WordPad et corrigée par Microsoft en septembre 2017. Diverses campagnes y ont eu recours, par exemple OilRig.

Aux côtés des vulnérabilités OLE et HTA décrites plus haut, les auteurs des attaques ont découvert que des fichiers RTF peuvent également exécuter des objets OLE de type mime "text/html", au moyen de MSHTML. Cela signifie que les documents RTF présentent la même vulnérabilité aux attaques qu'Internet Explorer.

L'exploitation de cette vulnérabilité logique, nommée CVE-2018-8174, permet aux auteurs d'attaques d'exécuter du code HTML/JavaScript/VBScript arbitraire. Tandis que le code exécuté de cette façon est placé dans une "sandbox" (où il ne peut lancer de nouveaux processus, écrire dans le système de fichiers ou effectuer d'autres opérations) à l'instar de tout autre code exécuté à partir d'Internet Explorer, cette faille peut servir à en exploiter d'autres, par exemple une vulnérabilité UAF de corruption de mémoire dans le moteur VBScript, pour permettre l'exécution de code arbitraire dans le cadre de l'application Word (winword.exe) et la prise de contrôle du système.

Conclusion

Tandis que les attaques utilisant des documents comme vecteur sont courantes depuis plus d'une dizaine d'années, nous observons une augmentation récente de leur fréquence et de leur complexité. Cette tendance pourrait s'expliquer par la difficulté croissante d'exploiter les vulnérabilités des navigateurs en raison du renforcement de leur protection par leurs développeurs. Quoi qu'il en soit, il est important pour les entreprises de savoir comment se défendre contre ces techniques répandus.

Analyse de Unit42, unité de recherches de Palo Alto Networks

 
RECHERCHE    
 
TRADUCTION
...
 
OUTILS    
Inscription Newsletter    
Deux éditions mensuelles gratuites
Inscription Annuaire    
L'annuaire des pros
Publicité    
20000 visiteurs par mois
 
ANNUAIRE  
E-LEARNING Lyon
Fitnet Manager
EXACT France
MISSLER SOFTWARE
CXP Group
SILOG
INCWO
VARIOPOSITIF
SYXPERIANE
VAISONET
VERYSWING
ATHENEO by Mismo
FITNET MANAGER
VERO Software
tout l'annuaire
 
TRIBUNE LIBRE
Accélération et innovation continue : les attendus du nouvel âge industriel
16/01/2019 À un de ses "followers" qui prévoyait un rafraichissement complet des véhicules Tesla en 2021, Elon Musk ne s'est pas contenté de répondre par la négative. "Rien de cela chez Tesla (...), nos voitures sont améliorées ...
Le DSI doit reprendre le contrôle des données de l'entreprise
08/01/2019 Le cloud est souvent considéré comme la meilleure réponse à l'augmentation constante du volume des données. Néanmoins, son utilisation a soulevé plusieurs questions quant à la confiance que l'on peut lui accorder : qui g ...
toutes les tribunes libres
 
 
FOCUS ENTREPRISE    
Salons Solutions
 
1er, 2 & 3 octobre 2019 - Paris Porte de Versailles - Pavillon 2.2 EXPOSITION, CONFÉRENCES, ATELIERS ERP, CRM, BI, E-ACHATS, DEMATERIALISATION, ARCHIVAGE EN LIGNE, SDN/INFOTODOC, SERVEURS & APPLICATIONS Les prochains Salons Solutions vont regr ...
fiche complète de l'entreprise
 
 
erp-infos.com - copyright groupe solutions 2019 - tous droits réservés
Articles
Les préoccupations d...
Migrer vers S/4HANA,...
Accélération et inno...
2018, année de toute...
Le Groupe Emplio dev...
Le DSI doit reprendr...
Quand l'IA se met au...
Dépêches
La CNIL prononce une...
Infor annonce un inv...
Salesforce enrichit ...
Hommage à Bruno Vanr...
Blockchain en France...
L'expérience, enjeu ...
Eureka Solutions lan...
Communiqués de presse
Esker certifiée poin...
Hays passe à 2/3 de ...
Esker nommée dans le...
11ème édition du For...
Esker renforce sa pr...
Alpes Contrôles s’in...
Éditeurs ERP, faites...
Evénements
Salons Solutions 201...
Web-Conférence / Dém...
28/11 Aix-en-P: 5 in...
WorkPLan au salon so...
Promotion vente lice...
Application mobile e...
Afterwork - Piloter ...
erp-infos.com
inscription newsletter
inscription annuaire
qui sommes-nous ?
contacts
publicité
tarifs & conditions
mentions légales
Les autres sites Infopro
E-learning-infos
ERP-infos
Intranet-infos
Eachats-infos
Phonethik