 |
|
|
| |
|
|
| Sommaire Sécurité |
|
| Les outils bureautiques sous le feu des attaques |
| Word, Excel, ou Powerpoint suscitent pleinement l'attention des pirates depuis ces derniers mois. Les attaques combinent parfois social engineering et exploitation de failles pour leurrer les utilisateurs.
(08/09/2006) |
|
Microsoft et les experts en sécurité ne sont visiblement pas les seuls à s'intéresser à la traque des vulnérabilités dans les outils de la suite bureautique Office. Ces derniers mois ont en effet vu naitre de multiples failles, aussi bien dans Excel que dans Powerpoint ou Word.
"Le phénomène remonte déjà à plusieurs années, notamment au travers de la création de code type macro. A présent, la tendance est à l'utilisation de failles pour déposer le code. Les dernières versions de malwares sont d'ailleurs capables une fois installées, de déposer d'autres codes. Il pourra s'agir d'une porte dérobée ou d'un ver qui se propagera par le biais de partages réseaux", explique Loucif Kharouni, ingénieur Anti-Threats pour Trend Micro.
Chacune des applications Office a d'ailleurs fait récemment l'objet d'au moins une zero-day vulnerability, une appellation qui désigne une faille déjà exploitée par du code malveillant le jour de sa découverte. Ce fut notamment le cas d'Excel le 15 juin dernier (lire l'article du 21/06/2006), avec la découverte par Secunia d'un cheval de Troie baptisé Mdropper.J.
Un mois plus tôt, en mai, c'était Word qui était la cible d'attaques relativement comparables. Ces dernières tiraient également profit d'une vulnérabilité critique du logiciel non encore répertoriée. La menace était toutefois demeurée modeste, les pirates privilégiant des opérations ciblées. Le mode opératoire consistait en la combinaison d'un document Word piégé joint à un e-mail, d'un cheval de Troie, d'une porte dérobée et enfin d'un rootkit.
Une fois l'ordinateur infecté, le pirate pouvait prendre le contrôle de la fonction cmd.exe de Windows (invite de commande, Windows Command Prompt). D'après F-Secure, éditeur de solutions de sécurité, l'infection par le Troyen autorisait alors la prise de contrôle à distance du poste.
Tout juste cette semaine, une nouvelle vulnérabilité critique a été décelée, cette fois dans Microsoft Word 2000. Secunia qui a rapporté son existence précise également que la faille est utilisée par des pirates. Symantec signale ainsi l'existence d'un cheval de Troie baptisé MDropper.Q. Exploitant un fichier Word corrompu pour s'installer sur l'ordinateur, il télécharge ensuite une porte dérobée afin de permettre une prise de contrôle à distance.
| Des combinaisons de codes divers |
Toutefois, comme pour l'ensemble des codes reposant sur des vulnérabilités de la suite Office, la contamination du poste de travail ne peut se faire sans la participation de l'utilisateur. Celui-ci choisit délibérément d'ouvrir le document.
Le moyen le plus sûr de tromper la vigilance des utilisateurs est alors de recourir à des procédés de social engineering comme le phishing. Une adresse d'expéditeur ayant un domaine proche de celui du destinataire est l'une des méthodes pouvant être mise en uvre. L'usurpation d'identité peut également être employée pour ce type d'attaque.
"Cela reste cependant peu fréquent. Les techniques pour acheminer ces codes malveillants sont principalement des mails de spam ou encore consistent à placer les fichiers Office corrompus sur des sites Web publics", précise Loucif Kharouni.
De plus, afin de tirer directement profit des bulletins de sécurité de Microsoft et de leur cycle mensuel rarement bouleversé, les créateurs de malwares tendraient à exploiter de nouvelles vulnérabilités seulement quelques jours après leur publication. Ce fut notamment le cas pour des failles récentes dans Word et Excel.
Si les logiciels bureautiques de Microsoft font l'objet d'une attention si particulière, c'est principalement en raison de l'importance de son parc d'utilisateurs. Les solutions concurrentes d'Office sont en effet encore trop peu répandues pour que la création de code spécifique s'avère suffisamment rentable.
Néanmoins, en raison de la nécessaire interaction avec l'utilisateur, les menaces affectant la bureautique restent en règle générale modérées. Une vigilance vis-à-vis des documents d'expéditeurs ou de sources inconnus, ainsi qu'un antivirus dont les signatures sont à jours réduisent les risques. L'efficacité des attaques pourra cependant être fortement accrue par l'association à des procédés de social engineering.
|
| |
| |
|
|
|
|
|
|
Dossiers 