Check Point Research (CPR) invite les utilisateurs de Windows à mettre à jour leurs logiciels, après avoir découvert quatre failles de sécurité qui affectent les produits de la suite Microsoft Office, dont Excel et Office online. Trouvant leur origine dans un code patrimonial, ces vulnérabilités auraient pu permettre à un attaquant d’exécuter du code sur des cibles via des documents Office malveillants, tels que Word, Excel et Outlook.
- Le code malveillant pouvait être diffusé par le biais de documents Word (.DOCX), d’e-mails Outlook (.EML) et de la plupart des formats de fichiers bureautiques.
- Les vulnérabilités sont causées par des erreurs d’analyse du code existant, ce qui amène CPR à croire que les failles de sécurité existent depuis des années.
- CPR a pris la responsabilité de prévenir Microsoft, qui a ensuite publié des correctifs : CVE-2021-31174, CVE-2021-31178, CVE-2021-31179, CVE-2021-31939
Check Point Research (CPR) a identifié quatre failles de sécurité affectant des produits de la suite Microsoft Office, notamment Excel et Office online. Si elles étaient exploitées, ces vulnérabilités permettaient à un attaquant d’exécuter du code sur des cibles via des documents Office malveillants, tels que Word (.DOCX), Excel (.EXE) et Outlook (.EML). Les vulnérabilités sont dues à des erreurs d’analyse du code existant dans les formats de fichiers Excel95, ce qui permet aux chercheurs de penser que les failles de sécurité existent depuis plusieurs années.
Yaniv Balmas, responsable de la recherche cybernétique chez Check Point Software :
« Les vulnérabilités découvertes affectent la quasi-totalité de l’écosystème Microsoft Office. Il est possible d’exécuter une telle attaque sur presque tous les logiciels Office, y compris Word, Outlook et autres. Nous avons constaté que les vulnérabilités sont dues à des erreurs d’analyse du code patrimonial. L’un des principaux enseignements de nos recherches est que le code patrimonial reste un maillon faible de la chaîne de sécurité, et en particulier dans les logiciels complexes comme Microsoft Office. Même si nous n’avons trouvé que quatre vulnérabilités sur la surface d’attaque dans notre recherche, on ne peut jamais savoir combien d’autres vulnérabilités de ce type attendent d’être découvertes. J’invite vivement les utilisateurs de Windows à mettre à jour leur logiciel immédiatement, car de nombreux vecteurs d’attaque possibles existent et un attaquant peut déclencher les vulnérabilités que nous avons découvertes. »
Découverte
CPR a découvert les vulnérabilités en « fuzzant » MSGraph, un composant qui peut être intégré dans les produits Microsoft Office afin d’afficher des graphiques et des diagrammes. Le fuzzing est une technique de test logiciel automatisé qui tente de trouver des bogues logiciels piratables en introduisant de manière aléatoire des données invalides et inattendues dans un programme informatique, afin de trouver des erreurs de codage et des failles de sécurité. En utilisant cette technique, CPR a découvert des fonctions vulnérables dans MSGraph. Des vérifications de code similaires ont confirmé que la fonction vulnérable était couramment utilisée dans plusieurs produits Microsoft Office, tels qu’Excel, Office Online Server et Excel pour OSX.
Méthode d’attaque
Les vulnérabilités découvertes peuvent être intégrées dans la plupart des documents Office. Dès lors, de multiples vecteurs d’attaque peuvent être imaginés. Le plus simple serait que:
- La victime télécharge un fichier Excel malveillant (format XLS). Le document peut être transmis via un lien de téléchargement ou un e-mail, mais l’attaquant ne peut pas forcer la victime à le télécharger.
- La victime ouvre le fichier Excel malveillant
- La faille est ouverte
Comme toute la suite Office a la capacité d’intégrer des objets Excel, cela élargit le vecteur d’attaque, rendant possible l’exécution d’une telle attaque sur presque tous les logiciels Office, y compris Word, Outlook et autres.
Une transparence active
CPR a rendu publiques ses recherches de manière responsable à Microsoft. Microsoft a corrigé les vulnérabilités de sécurité, en publiant CVE-2021-31174, CVE-2021-31178, CVE-2021-31179. Le quatrième correctif sera publié lors du Patch Tuesday de Microsoft, le 8 juin 2021, sous le nom de (CVE-2021-31939).
Comment mettre à jour son PC Windows
- Sélectionner le bouton Démarrer, puis sélectionnez Paramètres > Mise à jour et sécurité > Windows Update.
- Pour vérifier les mises à jour manuellement, sélectionner « Vérifier les mises à jour ».
- Sélectionner Options avancées, puis sous Choisir le mode d’installation des mises à jour, sélectionner Automatique (recommandé).