Check Point Research (CPR) invite les utilisateurs de Windows à mettre à jour leurs logiciels, après avoir découvert quatre failles de sécurité qui affectent les produits de la suite Microsoft Office, dont Excel et Office online. Trouvant leur origine dans un code patrimonial, ces vulnérabilités auraient pu permettre à un attaquant d'exécuter du code sur des cibles via des documents Office malveillants, tels que Word, Excel et Outlook.

Le code malveillant pouvait être diffusé par le biais de documents Word (.DOCX), d'e-mails Outlook (.EML) et de la plupart des formats de fichiers bureautiques.

Les vulnérabilités sont causées par des erreurs d'analyse du code existant, ce qui amène CPR à croire que les failles de sécurité existent depuis des années.

CPR a pris la responsabilité de prévenir Microsoft, qui a ensuite publié des correctifs : CVE-2021-31174, CVE-2021-31178, CVE-2021-31179, CVE-2021-31939

Check Point Research (CPR) a identifié quatre failles de sécurité affectant des produits de la suite Microsoft Office, notamment Excel et Office online. Si elles étaient exploitées, ces vulnérabilités permettaient à un attaquant d'exécuter du code sur des cibles via des documents Office malveillants, tels que Word (.DOCX), Excel (.EXE) et Outlook (.EML). Les vulnérabilités sont dues à des erreurs d'analyse du code existant dans les formats de fichiers Excel95, ce qui permet aux chercheurs de penser que les failles de sécurité existent depuis plusieurs années. 

Découverte

CPR a découvert les vulnérabilités en « fuzzant » MSGraph, un composant qui peut être intégré dans les produits Microsoft Office afin d'afficher des graphiques et des diagrammes. Le fuzzing est une technique de test logiciel automatisé qui tente de trouver des bogues logiciels piratables en introduisant de manière aléatoire des données invalides et inattendues dans un programme informatique, afin de trouver des erreurs de codage et des failles de sécurité. En utilisant cette technique, CPR a découvert des fonctions vulnérables dans MSGraph. Des vérifications de code similaires ont confirmé que la fonction vulnérable était couramment utilisée dans plusieurs produits Microsoft Office, tels qu'Excel, Office Online Server et Excel pour OSX.

Méthode d'attaque

Les vulnérabilités découvertes peuvent être intégrées dans la plupart des documents Office. Dès lors, de multiples vecteurs d'attaque peuvent être imaginés. Le plus simple serait que :

–La victime télécharge un fichier Excel malveillant (format XLS). 

–Le document peut être transmis via un lien de téléchargement ou un e-mail, mais l'attaquant ne peut pas forcer la victime à le télécharger.   

–La victime ouvre le fichier Excel malveillant, la faille est déclenchée

Comme toute la suite Office a la capacité d'intégrer des objets Excel, cela élargit le vecteur d'attaque, rendant possible l'exécution d'une telle attaque sur presque tous les logiciels Office, y compris Word, Outlook et autres.

Une transparence active

CPR a rendu publiques ses recherches de manière responsable à Microsoft. Microsoft a corrigé les vulnérabilités de sécurité, en publiant CVE-2021-31174, CVE-2021-31178, CVE-2021-31179 et CVE-2021-31939.

Comment mettre à jour votre PC Windows

–Sélectionnez le bouton Démarrer, puis sélectionnez Paramètres > Mise à jour et sécurité > Windows Update.

–Si vous voulez vérifier les mises à jour manuellement, sélectionnez Vérifier les mises à jour.

–Sélectionnez Options avancées, puis sous Choisir le mode d'installation des mises à jour, sélectionnez Automatique (recommandé).

Yaniv Balmas, responsable de la recherche cybernétique chez Check Point Software : «Les vulnérabilités découvertes affectent la quasi-totalité de l'écosystème Microsoft Office. Il est possible d'exécuter une telle attaque sur presque tous les logiciels Office, y compris Word, Outlook et autres. Nous avons constaté que les vulnérabilités sont dues à des erreurs d'analyse du code patrimonial. L'un des principaux enseignements de nos recherches est que le code patrimonial reste un maillon faible de la chaîne de sécurité, et en particulier dans les logiciels complexes comme Microsoft Office. Même si nous n'avons trouvé que quatre vulnérabilités sur la surface d'attaque dans notre recherche, on ne peut jamais savoir combien d'autres vulnérabilités de ce type attendent d'être découvertes. J'invite vivement les utilisateurs de Windows à mettre à jour leur logiciel immédiatement, car de nombreux vecteurs d'attaque possibles existent et un attaquant peut déclencher les vulnérabilités que nous avons découvertes.»

Plus d’informations ICI.

Communiqué de presse de Check Point Software