Microsoft a corrigé une grave vulnérabilité d’exécution du code à distance de MS Office — une vulnérabilité qui permettrait l’installation à distance de malwares sans qu’aucune interaction de l’utilisateur ne soit nécessaire. Le défaut est présent dans Microsoft Office depuis 17 ans.
Découverte par des chercheurs d’Embedi, cette faille a fait l’objet d’un suivi sous la référence CVE-2017-11882. Elle se trouve dans l’éditeur d’équations de Microsoft, une partie de MS Office qui est utilisée pour insérer et éditer des équations (objets OLE) dans les documents. Plus précisément, la vulnérabilité se trouve dans le fichier exécutable EQNEDT32.exe.
Cette vulnérabilité de corruption de mémoire permet l’exécution de code à distance sur un ordinateur ciblé, et permettrait à un attaquant de prendre le contrôle total du système au cas où il serait utilisé avec les kits d’exploitation de privilèges du noyau Windows. La faille peut être exploitée sur tous les systèmes d’exploitation Windows, y compris ceux qui ne sont pas corrigés avec la mise à jour Windows 10 Creators Update.
Microsoft s’est attaquée à cette vulnérabilité lors de sa série de mises à jour de sécurité de novembre 2017. Tout système non patché est vulnérable aux attaques, il est donc fortement recommandé d’appliquer rapidement le correctif. Alors que la faille aurait pu potentiellement être exploitée à tout moment au cours des 17 dernières années, on peut s’attendre à ce que cela se produise maintenant qu’un patch a été publié.
La faille ne nécessite pas l’utilisation de macros. Il suffit que la victime ouvre un document Office malveillant, conçu pour exploiter la vulnérabilité et qui arriverait probablement via un e-mail non sollicité. Ceci souligne l’importance de mettre en œuvre une solution de filtrage de spam telle que SpamTitan pour bloquer la menace.
Les utilisateurs finaux qui sont dupés en ouvrant un document malveillant peuvent prévenir l’infection en fermant le document sans activer les macros. Mais dans ce cas, les malwares pourraient encore être installés simplement en ouvrant le document.
Microsoft a évalué la vulnérabilité comme étant importante, plutôt que critique. Pourtant, les chercheurs d’Embedi affirment qu’elle est « extrêmement dangereuse ». Embedi a développé une attaque de preuve de concept qui lui a permis d’exploiter avec succès la vulnérabilité. Les chercheurs ont déclaré : « En insérant plusieurs OLE qui exploitent la vulnérabilité, il était possible d’exécuter une séquence arbitraire de commandes (par exemple, télécharger un fichier arbitraire sur Internet et l’exécuter) ».
EQNEDT32.exe est exécuté en dehors de l’environnement Microsoft Office, il n’est donc pas soumis à Office et à de nombreuses protections Windows 10. En plus d’appliquer le correctif, les chercheurs en sécurité d’Embedi recommandent donc de désactiver EQNEDT32.EXE dans le registre, car même avec le correctif appliqué, l’exécutable affiche encore d’autres vulnérabilités. Désactiver cet exécutable n’aura aucun impact sur les utilisateurs, car c’est une fonctionnalité d’Office qui n’est jamais nécessaire pour la plupart d’entre eux.