La bourse ferme dans 6 h 44 min
  • CAC 40

    6 136,64
    +63,29 (+1,04 %)
     
  • Euro Stoxx 50

    3 585,63
    +52,46 (+1,48 %)
     
  • Dow Jones

    31 500,68
    +823,28 (+2,68 %)
     
  • EUR/USD

    1,0589
    +0,0030 (+0,29 %)
     
  • Gold future

    1 840,00
    +9,70 (+0,53 %)
     
  • BTC-EUR

    20 238,88
    -143,92 (-0,71 %)
     
  • CMC Crypto 200

    467,21
    +13,31 (+2,93 %)
     
  • Pétrole WTI

    107,44
    -0,18 (-0,17 %)
     
  • DAX

    13 337,35
    +219,22 (+1,67 %)
     
  • FTSE 100

    7 274,12
    +65,31 (+0,91 %)
     
  • Nasdaq

    11 607,62
    +375,42 (+3,34 %)
     
  • S&P 500

    3 911,74
    +116,01 (+3,06 %)
     
  • Nikkei 225

    26 871,27
    +379,30 (+1,43 %)
     
  • HANG SENG

    22 229,52
    +510,46 (+2,35 %)
     
  • GBP/USD

    1,2314
    +0,0044 (+0,36 %)
     

Des pirates peuvent prendre la main dès l’ouverture d’un fichier Word

À l’heure actuelle, tout le monde, ou presque, a déjà entendu dire que les macros peuvent être dangereux dans Microsoft Word. Après tout, le logiciel les bloque par défaut et affiche un bandeau d’avertissement. Toutefois, ce n’est pas le seul moyen d’utiliser le logiciel pour infecter un ordinateur. Sur Twitter, l’utilisateur @nao_sec a partagé un code malveillant découvert dans un document Word.

Ce code utilise une faille baptisée Follina. Elle est classée « zero-day », autrement dit déjà exploitée par les pirates et sans mise à jour (Microsoft a « zéro jour » pour sortir un correctif). @nao_sec a remarqué le code en question par hasard sur le site Virus Total en cherchant des documents utilisant une autre faille. Un internaute localisé en Biélorussie aurait soumis le document en question au site afin de vérifier s’il était détecté par les différents antivirus.

Un code dissimulé en base 64

Le code utilise la fonction de modèle distant du logiciel pour charger un fichier HTML depuis un serveur. Celui-ci détourne ensuite l’outil de diagnostic du support Microsoft (MSDT) pour charger un fichier et exécuter des commandes PowerShell. Et ce, même si les macros sont désactivées. L’auteur du code a utilisé la même technique que celle détectée sur certains sites Web pour dissimuler les commandes problématiques : elles sont converties en base 64, et décodées au moment de l’exécution.

Les chercheurs ignorent quel était le but exact de l’auteur, puisque le second fichier n’est plus disponible. Toutefois, à partir du moment où il parvient à exécuter des commandes PowerShell, il peut potentiellement prendre le contrôle total de l’ordinateur et attaquer d’autres machines sur le réseau local.

Follina est particulièrement problématique. Par...

> Lire la suite sur Futura

À lire aussi sur Futura

Notre objectif est de créer un endroit sûr et engageant pour que les utilisateurs communiquent entre eux en fonction de leurs centres d’intérêt et de leurs passions. Afin d'améliorer l’expérience dans notre communauté, nous suspendons temporairement les commentaires d'articles