Yahoo FinanceComment des pirates peuvent prendre la main dès l’ouverture d’un fichier Word
À l’heure actuelle, tout le monde, ou presque, a déjà entendu dire que les macros peuvent être dangereux dans Microsoft Word. Après tout, le logiciel les bloque par défaut et affiche un bandeau d’avertissement. Toutefois, ce n’est pas le seul moyen d’utiliser le logiciel pour infecter un ordinateur. Sur Twitter, l’utilisateur @nao_sec a partagé un code malveillant découvert dans un document Word.
Ce code utilise une faille baptisée Follina. Elle est classée « zero-day », autrement dit déjà exploitée par les pirates et sans mise à jour (Microsoft a « zéro jour » pour sortir un correctif). @nao_sec a remarqué le code en question par hasard sur le site Virus Total en cherchant des documents utilisant une autre faille. Un internaute localisé en Biélorussie aurait soumis le document en question au site afin de vérifier s’il était détecté par les différents antivirus.
Interesting maldoc was submitted from Belarus. It uses Word's external link to load the HTML and then uses the "ms-msdt" scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022
Un code dissimulé en base 64
Le code utilise la fonction de modèle distant du logiciel pour charger un fichier HTML depuis un serveur. Celui-ci détourne ensuite l’outil de diagnostic du support Microsoft (MSDT) pour charger un fichier et exécuter des commandes PowerShell. Et ce, même si les macros sont désactivées. L’auteur du code a utilisé la même technique que celle détectée sur certains sites Web pour dissimuler les commandes problématiques : elles sont converties en base 64, et décodées au moment de l’exécution.
Les chercheurs ignorent quel était le but exact de l’auteur, puisque le second fichier n’est plus disponible. Toutefois, à partir du moment où il parvient à exécuter des commandes PowerShell, il peut potentiellement prendre le contrôle total de l’ordinateur et attaquer d’autres machines sur le réseau local.
Follina est particulièrement problématique. Par...
À lire aussi sur Futura
