Une nouvelle campagne de malwares utilisant Microsoft Word sans macros a été détectée. L’ouverture d’un document Word envoyé par e-mail ne génère pas les avertissements habituels selon lesquels les macros doivent être activées.

Les employés peuvent avoir été avertis de se méfier de tout courriel contenant des pièces jointes et de ne jamais activer les macros sur les documents reçus par courriel. Cependant, l’utilisation de Microsoft Word sans macros signifie que même l’ouverture des pièces jointes d’e-mails peut impliquer le téléchargement de malwares si des correctifs n’ont pas été appliqués.

Le processus d’infection en plusieurs étapes utilise la vulnérabilité CVE-2017-11822 Word pour installer un voleur d’informations. CVE-2017-11822 a été patché par Microsoft l’année dernière, mais les entreprises qui n’ont pas récemment corrigés leurs systèmes seront encore vulnérables à cette attaque.

CVE-2017-11822 est une vulnérabilité dans Office Equation Editor. Le bug peut se produire avec Microsoft Office depuis 17 ans. Mais l’an dernier, Microsoft a jugé que la vulnérabilité d’exécution du code était importante, mais pas critique. Cependant, de nombreux professionnels de la sécurité n’étaient pas d’accord et ont affirmé que la vulnérabilité était très dangereuse, car le bug pouvait être exploité par les pirates informatiques pour exécuter un code arbitraire et qu’elle était présente dans toutes les versions Office.

Microsoft Equation Editor est une application qui permet l’insertion et l’édition d’équations complexes dans des documents Office en tant qu’éléments OLE. L’an dernier, les chercheurs en sécurité ont été en mesure d’exploiter la vulnérabilité pour exécuter une séquence de commandes, y compris le téléchargement de fichiers à partir d’Internet. Cette campagne déclenche également le téléchargement d’un document — un fichier RTF (Rich Text File) — via un objet OLE intégré dans le document Word.

L’objet OLE ouvre le fichier RTF qui utilise la vulnérabilité pour exécuter une ligne de commande MSHTA, laquelle télécharge et exécute un fichier HTA contenant un VBScript. Le VBScript décompresse un script PowerShell qui, à son tour, télécharge et exécute le malware voleur d’informations. Le but du malware est de voler les mots de passe de navigateurs Web, de comptes de messagerie électronique et de serveurs FTP.

La campagne de malware a été conçue pour cibler les entreprises. Jusqu’à présent, quatre modèles d’e-mails ont été détectés par les chercheurs de SpiderLabs, mais beaucoup d’autres seront certainement utilisés au cours des prochains jours et semaines.

Les quatre courriels interceptés ont les lignes d’objet :

  • Relevé de compte TNT
  • Demande d`offre de prix (RFQ)
  • Notification de transfert envoyé par télex
  • Copie rapide pour le paiement du solde

Bien qu’un correctif ait été publié l’année dernière pour remédier à cette vulnérabilité, ce mardi, Microsoft a pris d’autres mesures en supprimant certaines des fonctionnalités de Microsoft Equation Editor pour empêcher l’exploitation de CVE-2017-11882.

Les entreprises peuvent atténuer cette attaque de trois façons principales :

  • S’assurer que les installations et les systèmes d’exploitation de Microsoft Office sont mis à jour à 100 % et régulièrement.
  • Utiliser un logiciel antispam pour empêcher la livraison de courriels malveillants aux utilisateurs finaux

Formation des utilisateurs finaux aux meilleures pratiques en matière de cybersécurité et aux dangers liés à l’ouverture des documents Office provenant d’une personne inconnue. Vous devriez également envisager d’envoyer un avertissement au sujet de cette campagne de malware et des lignes d’objet qui ont été utilisées.