accueil favoris newsletter 
l'information professionnelle des progiciels de gestion intégrés
ACTUALITES RUBRIQUES INTERVIEWS NEWSLETTERS OUTILS INSCRIPTIONS A PROPOS
 
 
DEPECHES    
Cegid lance une plate-forme fiscale nouvelle génération
19/03/2019 L'éditeur ouvre de nouvelles possibilités d'analyse à ses clients en lançant sa nouvelle solution Cegid Tax Ultimate, qui adresse les besoins des grandes entreprises et ETI en matières déclaratives, de prévisions et de r ...
Le grand prix des 4èmes trophées de la transformation numérique va à la SNCF
13/03/2019 Organisés par notre confrère Solutions Numeriques, les trophées de la transformation numérique ont récompensé en 2019 16 projets numériques innovants.
Delaware ouvre une agence à La Madeleine
12/03/2019 Le spécialiste de la mise en œuvre d'environnements SAP s'agrandit en région nord en intégrant sa nouvelle agence à La Madeleine. L'objectif pour l'intégrateur delaware est d'une part d'accélérer sa croissance dans la ré ...
Partenariat entre PTC et IFS
12/03/2019 Cette collaboration représente le rapprochement des deux éditeurs autour de la solution d'optimisation des pièces détachées Servigistics et des solutions IFS de gestion pour les services sur site, la gestion des actifs e ...
Ines CRM veut être choisi pour la satisfaction de ses clients
11/03/2019 Ines CRM est le premier éditeur de solutions CRM en mode SaaS à obtenir le label Scorefact pour la satisfaction de ses clients. Jusqu'à ce jour, seuls quelques éditeurs et intégrateurs CRM, notamment sur Microsoft Dynami ...
L'école supérieure d'ingénieurs ESIGELEC accueille le premier Girls' Lounge de SAP en France
11/03/2019 Cette annonce s'inscrit dans le prolongement des relations qu'entretiennent depuis plusieurs années l'école et SAP. Dans ce contexte, l'ESIGELEC est notamment labellisée NextGen Hub par SAP depuis 2016 et détentrice du l ...
Hardis dévoile Reflex WMS for Factory
06/03/2019 Solution de pilotage logistique pour les usines, il s'agit d'une déclinaison de Reflex WMS, le logiciel de gestion d'entrepôt de l'éditeur.
toutes les dépêches
 
DU COTE DES UTILISATEURS    
Bumble Bee Foods utilise la technologie blockchain pour tracer son thon de l'océan à l'assiette
12/03/2019 Bumble Bee Foods, dont le siège social est situé à San Diego, est la plus grande conserverie nord-américaine de produits de la mer, annonce utiliser la solution SAP Cloud Platform Blockchain pour suivre sa filière de tho ...
Aprolis déploie Smart CPQ pour accroître ses ventes
26/02/2019 Grâce à la solution de PROS, les équipes commerciales d'Aprolis ont raccourci les cycles de vente tout en améliorant l'expérience d'achat des consommateurs.
tous les témoignages
 
COMMUNIQUES DE PRESSE    
Sans ERP : commandes fournisseur code barre Kanban par l'opérateur
04/02/2019 Avec un terminal code-barre durci (WinCe, Android) ou un simple smartphone Android, permettez à vos opérateurs de passer commande de réapprovisionnement matières directement au fournisseur depuis leur ...
Ça bouge chez CalvaEDI, la filiale d’Esker spécialisée dans l’Echange de Données Informatisé (EDI)
04/02/2019 Esker, un des principaux éditeurs mondiaux de solutions de dématérialisation des documents, annonce le changement de gouvernance et l’emménagement dans de nouveaux locaux de sa filiale CalvaEDI, spéci ...
Esker certifiée point d’accès pour la plateforme PEPPOL par l’IMDA à Singapour
10/01/2019 Esker, un des principaux éditeurs mondiaux de solutions de dématérialisation des documents, annonce son autorisation en tant que point d’accès PEPPOL par l’agence gouvernementale singapourienne IMDA ( ...
tous les communiqués
 
 
Articles    
Menace : les documents Office peuvent être dangereux
 
12/09/2018 :: Mais nous allons néanmoins continuer à les utiliser... : nous utilisons quasiment tous des documents Microsoft Office. Qu'il s'agisse de documents de travail, de reçus électroniques ou du bail d'un nouvel appartement, les documents Office sont utiles à chacun d'entre nous et c'est en partie la raison pour laquelle nous sommes susceptibles de les ouvrir lorsque nous en recevons en pièce jointe d'un e-mail.

Connaissant la propension de nombreux utilisateurs à ouvrir la quasi-totalité des documents, même ceux provenant d'une source non fiable, des individus malintentionnés choisissent couramment ces fichiers pour attaquer et infecter un système. Nous allons ici passer en revue cinq techniques différentes permettant de détourner les documents Office pour en faire des armes d'attaque et d'infection des postes de travail Windows. Nous en avons déjà évoqué certaines précédemment, tandis que d'autres sont nouvelles.

Macros

Les macros sont le moyen le plus simple pour un assaillant d'infecter des documents Office. Les applications Office intègrent un moteur de scripts capable d'exécuter le langage VBA (Visual Basic for Applications). Du code malveillant contenu dans ces scripts peut ainsi s'exécuter sur le système dès l'ouverture du document, sans aucune intervention de l'utilisateur (à condition toutefois que ce dernier ait au préalable activé les macros). Si l'utilisateur n'a pas activé les macros, un message apparaît pour lui demander s'il souhaite le faire. Il s'agit de l'un des divers mécanismes de sécurité mis en place par Microsoft afin d'atténuer le risque présenté par les macros. Microsoft impose également une autre extension de nom de fichier (.docm au lieu de .docx pour les nouveaux documents contenant des macros). En dépit de ces mesures de sécurité, des utilisateurs décident néanmoins d'ouvrir ces fichiers et d'activer leur contenu, de sorte que les macros demeurent un vecteur courant, aussi bien pour des attaques vastes et simples destinées à propager un ransomware, telles que Emotet, que pour des campagnes élaborées, à l'image de Sofacy.

Comme l'illustre cet exemple, les auteurs des attaques tentent de convaincre les utilisateurs de désactiver les mécanismes de sécurité mis en place par Microsoft. Ils usent, pour ce faire, de techniques d'ingénierie sociale, persuadant l'utilisateur d'activer le contenu afin de pouvoir consulter l'intégralité du document. Dans l'exemple Sofacy, les assaillants ont simplement coloré le texte en blanc, de sorte que celui-ci était bien présent avant que l'utilisateur n'active les macros, mais invisible.

Fichiers Flash incorporés

En dehors des fonctionnalités intégrées telles que les macros, les documents Office peuvent aussi incorporer des objets externes, par exemple des fichiers Adobe Flash. Ces objets étant transmis au logiciel approprié pour leur traitement, toute vulnérabilité éventuellement présente dans ce logiciel peut également être exploitée par son incorporation dans le contenu Adobe Flash à l'intérieur du document Office. Un exemple de ce vecteur d'attaque est la faille Zero Day CVE-2018-4878 dans Adobe Flash Player, exploitée par l'incorporation de fichiers SWF malveillants dans des documents Excel. Dans les attaques de ce type, le document Excel infecté incorpore un contenu Adobe Flash capable de déclencher la vulnérabilité Flash et d'exécuter du code shell intégré.

Editeur d'équations Microsoft

Comme pour les fichiers Adobe Flash incorporés dans un document Office, il est également possible d'insérer dans des documents des équations mathématiques qui seront interprétées par l'éditeur d'équations Microsoft, un outil ayant pour vocation de faciliter leur écriture : comme dans notre exemple précédent, des vulnérabilités dans l'éditeur d'équations peuvent être exploitées par l'intermédiaire de documents Office malveillants. Nous en avons observé des cas tout récemment lorsque la faille CVE-2017-11882 a été exploitée, ouvrant la voie à d'autres, telles que CVE-2018-0802. Toutes deux touchent l'éditeur d'équations, ce qui permet d'amener l'utilisateur à ouvrir un document Office pour l'exécution de code à distance. Bien qu'elles n'aient pas encore été observées, des vulnérabilités similaires dans l'éditeur d'équations Microsoft, telles que CVE-2018-0807 et CVE-2018-0798, ont été identifiées par les chercheurs de l'Unité 42.

Il est à noter que, l'éditeur d'équations Microsoft s'exécutant sous la forme d'un processus distinct (eqnedt32.exe), les protections spécifiques à Microsoft Office, telles que EMET et Windows Defender Exploit Guard ne sont pas efficaces par défaut, car elles protègent uniquement les processus Microsoft Office (par exemple winword.exe).

Objets OLE et handlers HTA

Les objets OLE et les handlers HTA sont des mécanismes employés par les documents Office pour faire référence à d'autres documents inclus dans leur contenu. Ils peuvent servir à infecter un poste de travail de la manière suivante :

- Un objet OLE2 (lien) est incorporé dans un document Microsoft Word ;
- Une fois le document ouvert, le processus Word (winword.exe) envoie une requête HTTP à un serveur distant afin de télécharger un fichier HTA contenant un script malveillant ;
- Winword.exe recherche alors dans le handler le type "application/hta" via un objet COM, ce qui entraîne le chargement et l'exécution du script malveillant par l'application Microsoft HTA (mshta.exe).

Cette fonctionnalité a été exploitée dans la vulnérabilité CVE-2017-0199, permettant l'exécution de code à distance dans Microsoft Office/WordPad et corrigée par Microsoft en septembre 2017. Diverses campagnes y ont eu recours, par exemple OilRig.

Aux côtés des vulnérabilités OLE et HTA décrites plus haut, les auteurs des attaques ont découvert que des fichiers RTF peuvent également exécuter des objets OLE de type mime "text/html", au moyen de MSHTML. Cela signifie que les documents RTF présentent la même vulnérabilité aux attaques qu'Internet Explorer.

L'exploitation de cette vulnérabilité logique, nommée CVE-2018-8174, permet aux auteurs d'attaques d'exécuter du code HTML/JavaScript/VBScript arbitraire. Tandis que le code exécuté de cette façon est placé dans une "sandbox" (où il ne peut lancer de nouveaux processus, écrire dans le système de fichiers ou effectuer d'autres opérations) à l'instar de tout autre code exécuté à partir d'Internet Explorer, cette faille peut servir à en exploiter d'autres, par exemple une vulnérabilité UAF de corruption de mémoire dans le moteur VBScript, pour permettre l'exécution de code arbitraire dans le cadre de l'application Word (winword.exe) et la prise de contrôle du système.

Conclusion

Tandis que les attaques utilisant des documents comme vecteur sont courantes depuis plus d'une dizaine d'années, nous observons une augmentation récente de leur fréquence et de leur complexité. Cette tendance pourrait s'expliquer par la difficulté croissante d'exploiter les vulnérabilités des navigateurs en raison du renforcement de leur protection par leurs développeurs. Quoi qu'il en soit, il est important pour les entreprises de savoir comment se défendre contre ces techniques répandus.

Analyse de Unit42, unité de recherches de Palo Alto Networks

 
RECHERCHE    
 
TRADUCTION
...
 
OUTILS    
Inscription Newsletter    
Deux éditions mensuelles gratuites
Inscription Annuaire    
L'annuaire des pros
Publicité    
20000 visiteurs par mois
 
ANNUAIRE  
E-LEARNING Lyon
Fitnet Manager
EXACT France
MISSLER SOFTWARE
CXP Group
SILOG
INCWO
VARIOPOSITIF
SYXPERIANE
VAISONET
VERYSWING
ATHENEO by Mismo
FITNET MANAGER
VERO Software
tout l'annuaire
 
TRIBUNE LIBRE
Cinq raisons pour lesquelles le mot de passe n'est pas près de disparaître
04/03/2019 Avec la sortie l'an dernier de l'iPhone X, Apple a une nouvelle fois créé l'événement en introduisant la reconnaissance faciale dans ses téléphones, permettant d'utiliser Apple Pay et certaines autres applications en n'u ...
À propos de la lourde amende que risque Facebook aux États-Unis
20/02/2019 Après l'amende record de 50 millions d'euros infligée par la CNIL à Google dans le cadre du RGPD en début d'année, cette nouvelle sanction qui pourrait atteindre le montant exceptionnel de 2 milliards de dollars, rappell ...
toutes les tribunes libres
 
 
FOCUS ENTREPRISE    
Salons Solutions
 
1er, 2 & 3 octobre 2019 - Paris Porte de Versailles - Pavillon 2.2 EXPOSITION, CONFÉRENCES, ATELIERS ERP, CRM, BI, E-ACHATS, DEMATERIALISATION, ARCHIVAGE EN LIGNE, SDN/INFOTODOC, SERVEURS & APPLICATIONS Les prochains Salons Solutions vont regr ...
fiche complète de l'entreprise
 
 
erp-infos.com - copyright groupe solutions 2019 - tous droits réservés
Articles
Une décennie de Big ...
L'intelligence artif...
Bumble Bee Foods uti...
Solutions RH : une p...
Solutions : le grand...
Cinq raisons pour le...
Orchestrer le multic...
Dépêches
Cegid lance une plat...
Le grand prix des 4<...
Delaware ouvre une a...
Partenariat entre PT...
Ines CRM veut être c...
L'école supérieure d...
Hardis dévoile Refle...
Communiqués de presse
Ça bouge chez CalvaE...
Sans ERP : commandes...
Esker certifiée poin...
Hays passe à 2/3 de ...
Esker nommée dans le...
11ème édition du For...
Esker renforce sa pr...
Evénements
Salons Solutions 201...
Web-Conférence / Dém...
28/11 Aix-en-P: 5 in...
WorkPLan au salon so...
Promotion vente lice...
Application mobile e...
Afterwork - Piloter ...
erp-infos.com
inscription newsletter
inscription annuaire
qui sommes-nous ?
contacts
publicité
tarifs & conditions
mentions légales
Les autres sites Infopro
E-learning-infos
ERP-infos
Intranet-infos
Eachats-infos
Phonethik