Permet d'exécuter aisément un code malveillant
Cymulate, un fournisseur de solutions de simulation de brèches et d’attaques, a récemment annoncé avoir découvert une faille de sécurité dans le logiciel Word de la suite Microsoft Office qui pourrait affecter tous les utilisateurs d’Office 2016 et versions antérieures.
L’équipe de recherche de Cymulate a découvert un moyen d’abuser de la fonction Vidéo en ligne sur Microsoft Word pour exécuter un code malveillant. Cette technique permet d’infecter un ordinateur via des documents Word sans déclencher un avertissement de sécurité révélateur en exploitant une fonctionnalité qui, à la base, permet d’intégrer directement des vidéos dans des fichiers Word.
Cette attaque réalisée en quelques étapes simples permet de modifier manuellement et aisément la référence du chemin d’une vidéo distante à l’intérieur d’un fichier DOCX pour qu’elle pointe vers un code malveillant.
Il suffit pour cela de créer un document Word, puis d’y incorporer une vidéo grâce à la fonctionnalité « Vidéo en ligne » présente dans l’onglet « Insérer ». Après avoir sauvegardé ce document Word avec sa vidéo en ligne intégrée sous le format .docx, il faut ensuite le décompressé et éditer le fichier XML nommé document.xml qu’il contient dans le répertoire word.
En effet, les fichiers portant l’extension .docx ne sont en fait qu’un paquet ou une archive regroupant différents fichiers. Si vous décompressez un fichier .docx en modifiant, par exemple, l’extension .docx en .zip puis en décompressant l’archive résultante, vous remarquerez qu’il y a plusieurs fichiers et répertoires à l’intérieur.
Il vous faudra alors remplacer le lien vidéo par un « crafted payload » qui lance le gestionnaire de téléchargements du navigateur Internet Explorer avec le fichier d’exécution de code intégré. Pour cela, cherchez simplement dans le fichier .xml le paramètre embeddedHtml (sous WebVideoPr) qui contient le code iframe YouTube et remplacez le code iframe original par n’importe quel code html/JavaScript qui sera exécuté par Internet Explorer.
Sauvegardez en fin les modifications dans le fichier document.xml, mettez à jour le paquet .docx avec le XML modifié et ouvrez le document. Une fois exécuté, ce code utilisera la méthode « msSaveOrOrOpenBlob » pour déclencher le téléchargement de l’exécutable en ouvrant le gestionnaire de téléchargements d’Internet Explorer avec l’option pour exécuter ou enregistrer le fichier cible, mais ne déclenche pas l’affichage d’un message de sécurité indiquant que cela pourrait être dangereux, comme le fait habituellement Word quand il ouvre une macro.
Les attaquants pourraient utiliser cette technique à des fins malveillantes telles que l’hameçonnage, car le document montrera la vidéo en ligne intégrée avec un lien vers YouTube, tout en dissimulant un code html/JavaScript caché qui sera exécuté en arrière-plan et pourrait potentiellement mener à d’autres scénarios d’exécution du code.
L’équipe de recherche en sécurité de Cymulate a identifié le bogue et a averti Microsoft. La firme de Redmond a, par la suite, confirmé qu’il s’agissait d’une faille de sécurité dans l’exécution du code JavaScript dans le composant vidéo intégré d’Office.
merci à Developpez.com