Voyons voir pourquoi les pirates aiment exploiter les vulnérabilités spécifiques Microsoft Office. Ci-dessous vous trouverez quelques-unes des vulnérabilités les plus dangereuses découvertes dans MS Office au cours des dernières années.
Les pirates informatiques ont exploité les vulnérabilités Microsoft Office pour diffuser diverses formes de logiciels malveillants. En fonction de l'objectif et de l'ampleur de la campagne, le logiciel malveillant pourrait être conçu pour voler diverses informations de connexion et d'espionnage sur des cibles’ activités, déposer les mineurs de ransomware et crypto-monnaie, logiciels malveillants DDoS, parmi d'autres. Un rapport récent mené par Kaspersky a révélé que environ 70% de toutes les attaques de l'entreprise détectée au cours du premier trimestre de 2018 essayaient de tirer parti d'une vulnérabilité Microsoft Office. Le nombre est beaucoup plus grand que les années précédentes.
Saviez-vous que sont souvent utilisés dans les vulnérabilités même anciennes campagnes actuelles que les utilisateurs ont été à plusieurs reprises ne parviennent pas à patcher leurs systèmes? Selon un 2017 RAND, l'espérance de vie moyenne des vulnérabilités est près de sept ans. Si, ne soyez pas surpris par le fait que certaines des vulnérabilités dans cette liste sont deux ans.
Selon Kaspersky, deux des vulnérabilités Microsoft Office les plus exploités ont été découverts dans 2017: CVE-2017-11882 et CVE-2018-0802.
Dès l'année dernière, un certain nombre d'exploits zero-day pour Microsoft Office a commencé à apparaître, Kaspersky a souligné. Ces campagnes d'abord semblent être ciblés, mais ils se déplacent rapidement leur objectif d'attaquer un éventail plus large de cibles. Cela se produit lorsque les attaquants commencent à utiliser les constructeurs de documents malveillants.
CVE-2017-11882
Un exemple intéressant illustrant le rythme rapide de transformer une campagne ciblée de public est CVE-2017-11882, une vulnérabilité de l'éditeur d'équation qui a été corrigé par Microsoft en Novembre 14, 2017 dans le cadre du Patch Tuesday. La vulnérabilité est situé dans l'éditeur d'équations Microsoft, un composant Microsoft Office, et est une vulnérabilité de débordement de mémoire tampon de pile qui permet exécution de code à distance sur un système vulnérable. Le composant a été compilé en Novembre 9, 2000.
Du consultatif officiel: “Une vulnérabilité d'exécution de code à distance existe dans le logiciel Microsoft Office lorsque le logiciel ne parvient pas à gérer correctement les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte de l'utilisateur actuel. Si l'utilisateur actuel est connecté avec des droits d'administrateur, un attaquant pourrait prendre le contrôle du système affecté.”
Malware associés à cette vulnérabilité comprend AgentTesla, Andromède, BONDUPDATER, OEIL DE FAUCON, LCG Kit, Loki, POWRUNNER, QuasarRAT, REMCOS RAT, ThreadKit Exploit Kit.
Même si cette vulnérabilité est relativement ancienne, il a été exploité dans des campagnes de spam actifs détectés ce Juin. Comme nous l'avons signalé, une campagne malware active qui utilise des e-mails dans les langues européennes distribue des fichiers RTF qui portent le CVE-2017-11882 exploit. L'exploit permet aux pirates d'exécuter automatiquement du code malveillant sans avoir besoin d'une interaction de l'utilisateur.
CVE-2018-0802
Ceci est une autre vulnérabilité d'exécution de code à distance dans l'éditeur d'équation du logiciel Microsoft Office qui est déclenché lorsque le logiciel ne parvient pas à gérer correctement les objets en mémoire. L'éditeur d'équations dans Microsoft Office 2007, Microsoft Office 2010, Microsoft Office 2013, et Microsoft Office 2016 est vulnérable à cause de la façon dont les objets sont traités en mémoire.
Pourquoi les attaquants aiment exploiter les vulnérabilités Microsoft Office CVE-2017-11882 et CVE-2018-0802
L'explication est que les attaquants préfèrent simples, bogues logiques, Kaspersky dit. Voilà pourquoi ces deux vulnérabilités de l'éditeur d'équations sont l'un des bugs les plus exploités dans Microsoft Office. Les bugs sont «fiable et le travail dans chaque version de Word publié dans le passé 17 ans". Et ce qui est le plus important est que la création d'un exploit pour l'un d'entre eux ne nécessite pas de compétences avancées et des connaissances techniques spécifiques. Et la raison en est que «l'éditeur d'équation binaire n'a pas eu aucune des protections modernes et atténuations que vous attendez d'une application 2018", les chercheurs ont noté.
CVE-2017-0199
Selon une analyse par Recorded Future, CVE-2017-0199 est le plus exploité bug MS Office 2017. Le bogue a été détecté par les chercheurs FireEye en Avril, 2017. La question réside dans les documents RTF MS Office, et il pourrait permettre aux pirates de télécharger et d'exécuter un script Visual Basic contenant des commandes PowerShell, à condition que l'utilisateur ouvre un document contenant un intégré exploit.
Les chercheurs ont analysé un certain nombre de documents Office exploitation CVE-2017-0199 qui a téléchargé et exécuté charges utiles malveillants de plusieurs familles de logiciels malveillants bien connus. Le bogue a été notamment utilisé par le soi-disant Groupe Gorgone opérant à partir du Pakistan, qui cible principalement les organisations gouvernementales dans le U.K. et les États-Unis.
Malware associé à CVE-2017-0199 comprend DMShell ++, njRAT, Poney, QuasarRAT, REMCOS RAT, VITESSE D'OBTURATION, Silencieux Doc Exploit Kit, Threadkit Exploit Kit. Le logiciel malveillant a permis de vulnérabilité à insérer dans les documents en abusant de la mise à jour automatique des liens intégrés.
https://sensorstechforum.com/microsoft-office-infections-cve-2017-0199/”] Les pirates informatiques Microsoft Office infections Concevoir via CVE-2017-0199 Exploit
CVE-2017-8570
C'est l'une des plus principales vulnérabilités Microsoft Office. Selon le consultatif officiel, Microsoft Office est sujette à une vulnérabilité d'exécution de code à distance qui peut être mis à profit pour exécuter du code arbitraire dans le contexte de l'utilisateur connecté actuellement. Failed exploiter les tentatives pourraient entraîner le refus des conditions de service.
La vulnérabilité a été exploitée pour distribuer Formbook, QuasarRAT, Sisfader RAT, Threadkit Exploit Kit, et les programmes malveillants Trickbot. Il est à noter que le Sisfader RAT maintient la persistance par lui-même l'installation en tant que service lors de son lancement à partir de fichiers RTF malveillants.
CVE-2019-1035
La vulnérabilité a été patché en Juin 2019 Patch Tuesday, et est considéré comme très grave. Selon Allan Liska, solutions architecte principal à Recorded Future, "ceci est une autre vulnérabilité de corruption de mémoire qui nécessite un attaquant d'envoyer un document Microsoft Word spécialement conçu pour une victime à ouvrir, En variante, un attaquant pourrait convaincre une victime de cliquer sur un lien vers un site Web hébergeant un document Microsoft Word malveillant."
Ce qui est pire est que la faille affecte toutes les versions de Microsoft Word sur Windows et Mac systèmes d'exploitation, ainsi que Bureau 365. "Étant donné que les documents Microsoft Word sont un outil d'exploitation préféré des cybercriminels, si cette vulnérabilité est l'ingénierie inverse, il pourrait être largement exploité,» A ajouté le chercheur.
Comme il s'avère, les attaquants aiment exploiter les vulnérabilités Microsoft Office. Les défauts que nous ci-dessus sont vraiment graves, mais ils sont juste une petite partie de l'arsenal utilisés par les acteurs de la menace. Patcher le système d'exploitation dès qu'un correctif de sécurité arrive est très important, mais parfois, il peut ne pas suffire comme en témoigne l'abondance des exploits zero-day (ciblant non seulement les produits Microsoft, mais aussi une gamme d'autres logiciels). Comme bon nombre des campagnes sont réparties exploiter par courrier électronique et nécessitent l'interaction de l'utilisateur d'ouvrir un e-mail malveillant / fichier / lien, l'adoption de sensibilisation à la sécurité de phishing devient une priorité pour les entreprises et les utilisateurs à domicile.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: