{"id":93317,"date":"2018-10-16T01:00:05","date_gmt":"2018-10-16T08:00:05","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=93317"},"modified":"2018-10-11T09:54:26","modified_gmt":"2018-10-11T16:54:26","slug":"synthese-sur-les-cybermenaces-documents-office-le-danger-ne-saura-pas-nous-dissuader","status":"publish","type":"post","link":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/2018\/10\/synthese-sur-les-cybermenaces-documents-office-le-danger-ne-saura-pas-nous-dissuader\/?lang=fr","title":{"rendered":"Synth\u00e8se sur les cybermenaces \u2013 Documents Office : le danger ne saura pas nous dissuader"},"content":{"rendered":"

Nous utilisons quasiment tous Microsoft Office. Supports professionnels, re\u00e7us \u00e9lectroniques, contrats de location\u2026 les documents Office nous sont aussi utiles que familiers. Cela explique entre autre pourquoi nous sommes tr\u00e8s enclins \u00e0 ouvrir des pi\u00e8ces jointes d\u2019e-mails sous ce format, m\u00eame lorsqu\u2019elles proviennent de sources peu fiables. Conscients de cette r\u00e9alit\u00e9, les cybercriminels ont fait des fichiers Microsoft Office un de leurs principaux vecteurs d\u2019attaque.<\/p>\n

Cet article revient sur 5\u00a0mani\u00e8res dont les documents Office sont exploit\u00e9s pour compromettre des terminaux Windows. Certaines de ces techniques ont d\u00e9j\u00e0 fait l\u2019objet d\u2019une publication de notre part, et d\u2019autres non.<\/p>\n

 <\/p>\n

Macros<\/strong><\/p>\n

Les macros repr\u00e9sentent le moyen le plus simple de convertir un document Office en arme d\u2019attaque. Les applications Office comportent un moteur int\u00e9gr\u00e9 capable d\u2019ex\u00e9cuter des scripts VBA (Visual Basic for Applications). Lorsque les macros sont activ\u00e9es, ces scripts peuvent s\u2019ex\u00e9cuter imm\u00e9diatement \u00e0 l\u2019ouverture d\u2019un document (sans aucune action de l\u2019utilisateur) et ainsi propager un code malveillant dans le syst\u00e8me. Si l\u2019ex\u00e9cution n\u2019est pas automatique, une fen\u00eatre \u00ab\u00a0pop-up\u00a0\u00bb appara\u00eet pour demander \u00e0 l\u2019utilisateur d\u2019activer les macros. Cette fen\u00eatre fait partie des m\u00e9canismes de s\u00e9curit\u00e9 mis en place par Microsoft pour r\u00e9duire les risques associ\u00e9s aux macros. De plus, Microsoft impose l\u2019extension .docm (au lieu de .docx) aux nouveaux documents Word contenant des macros. Toutes ces mesures n\u2019emp\u00eachent malheureusement pas les utilisateurs de se faire pi\u00e9ger. R\u00e9sultat\u00a0: les macros restent des vecteurs d\u2019attaque privil\u00e9gi\u00e9s\u00a0\u2013 aussi bien pour propager des ransomwares comme Emotet<\/a><\/u> que pour lancer des attaques sophistiqu\u00e9es comme cette campagne Sofacy<\/a><\/u>.<\/p>\n

\"\"<\/span><\/div><\/p>\n

Figure 1\u00a0: Document infect\u00e9 par Sofacy, avant et apr\u00e8s activation du contenu<\/p>\n

Dans cet exemple, les attaquants ont eu recours \u00e0 des techniques d\u2019ing\u00e9nierie sociale pour inciter les utilisateurs \u00e0 activer les macros (pour voir tout le contenu du document) et ainsi d\u00e9sactiver les m\u00e9canismes de s\u00e9curit\u00e9 de Microsoft. Or, le contenu du document \u00e9tait d\u00e9j\u00e0 pr\u00e9sent avant l\u2019activation des macros. Les attaquants l\u2019avaient simplement mis en blanc pour le rendre invisible aux utilisateurs.<\/p>\n

 <\/p>\n

Fichiers Flash int\u00e9gr\u00e9s<\/strong><\/p>\n

Les documents Office peuvent \u00e9galement \u00eatre int\u00e9gr\u00e9s \u00e0 des objets externes, tel que les fichiers Adobe Flash. Si le logiciel charg\u00e9 de traiter ces objets comporte une vuln\u00e9rabilit\u00e9, les attaquants pourront les int\u00e9grer au contenu Adobe Flash du document Office et exploiter la vuln\u00e9rabilit\u00e9. C\u2019est le cas de CVE-2018-4878<\/a><\/u>, une vuln\u00e9rabilit\u00e9 zero-day d\u2019Adobe Flash Player exploit\u00e9e en incorporant des fichiers SWF malveillants dans des documents Excel. Dans ce type d\u2019attaque, le fichier Excel infect\u00e9 contient un objet Adobe Flash capable de d\u00e9clencher la vuln\u00e9rabilit\u00e9 Flash et d\u2019ex\u00e9cuter le code shell int\u00e9gr\u00e9.<\/p>\n

 <\/p>\n

\u00c9diteur d\u2019\u00e9quations Microsoft<\/strong><\/p>\n

Comme avec les contenus Adobe Flash, il est possible d\u2019ins\u00e9rer des \u00e9quations dans un document Office. Ce dernier sera analys\u00e9 par l\u2019\u00e9diteur d\u2019\u00e9quations Microsoft, un programme simple de cr\u00e9ation d\u2019\u00e9quations math\u00e9matiques.<\/p>\n

\"\"<\/span><\/div><\/p>\n

Figure 2\u00a0: \u00c9diteur d\u2019\u00e9quations Microsoft<\/p>\n

Comme dans l\u2019exemple pr\u00e9c\u00e9dent, les vuln\u00e9rabilit\u00e9s de l\u2019\u00e9diteur d\u2019\u00e9quations peuvent \u00eatre exploit\u00e9es depuis un document Office malveillant. Nous l\u2019avons r\u00e9cemment vu avec les vuln\u00e9rabilit\u00e9s CVE-2017-11882<\/a><\/u> et CVE-2018-0802<\/a><\/u>. Dans les deux cas, la m\u00e9thode \u00e9tait la m\u00eame\u00a0: les attaquants se servaient des failles de l\u2019\u00e9diteur d'\u00e9quations pour ex\u00e9cuter du code \u00e0 distance lorsqu\u2019un utilisateur ouvrait un document Office. Notre \u00e9quipe de recherche sur les menaces (Unit\u00a042) a identifi\u00e9 d\u2019autres vuln\u00e9rabilit\u00e9s similaires et encore non exploit\u00e9es li\u00e9es \u00e0 l\u2019\u00e9diteur d\u2019\u00e9quations Microsoft (par ex. CVE-2018-0807<\/a><\/u>\u00a0et CVE-2018-0798<\/a><\/u>).<\/p>\n

Remarque\u00a0: l\u2019\u00e9diteur d'\u00e9quations Microsoft s\u2019ex\u00e9cute comme un processus s\u00e9par\u00e9 (eqnedt32.exe). Par d\u00e9faut, les mesures de s\u00e9curit\u00e9 sp\u00e9cifiques \u00e0 Microsoft Office (EMET, Windows Defender Exploit Guard, etc.) ne s\u2019appliquent donc pas car elles ne concernent que les processus Microsoft Office (comme winword.exe).<\/p>\n

 <\/p>\n

Objets OLE et gestionnaires HTA<\/strong><\/p>\n

Les objets OLE et les gestionnaires HTA servent \u00e0 ajouter des r\u00e9f\u00e9rences vers d\u2019autres documents \u00e0 l\u2019int\u00e9rieur de documents Office. Pour compromettre un terminal, les attaquants proc\u00e8dent comme suit\u00a0:<\/p>\n

    \n
  1. Un lien OLE2 est ins\u00e9r\u00e9 \u00e0 un document Microsoft Word.<\/li>\n
  2. \u00c0 l\u2019ouverture du document, le processus Word (winword.exe) envoie une requ\u00eate HTTP \u00e0 un serveur distant pour r\u00e9cup\u00e9rer un fichier HTA contenant un script malveillant.<\/li>\n
  3. Le processus winword.exe recherche alors le gestionnaire correspondant via un objet COM, ce qui conduit l\u2019application Microsoft HTA (mshta.exe) \u00e0 charger et ex\u00e9cuter le script malveillant.<\/li>\n<\/ol>\n

    Cette technique a \u00e9t\u00e9 utilis\u00e9e pour exploiter CVE-2017-0199<\/a><\/u>, une vuln\u00e9rabilit\u00e9 Microsoft Office\/WordPad d\u2019ex\u00e9cution de code \u00e0 distance. Corrig\u00e9e par Microsoft en septembre 2017, elle a \u00e9t\u00e9 exploit\u00e9e \u00e0 de nombreuses reprises comme lors de la campagne OilRig<\/a><\/u>.<\/p>\n

    \"\"<\/span><\/div><\/p>\n

    Figure 3\u00a0: les fichiers RTF appara\u00eetront comme des fichiers Word standards<\/p>\n

    En plus des failles OLE et HTA, les attaquants se sont rendus compte que les fichiers RTF pouvaient \u00e9galement ex\u00e9cuter des objets OLE de type mime \u00ab\u00a0text\/html\u00a0\u00bb \u00e0 l\u2019aide du moteur MSHTML. Autrement dit, les fichiers RTF pr\u00e9sentent la m\u00eame surface d\u2019attaque qu\u2019Internet Explorer.<\/p>\n

    Connue sous le nom de CVE-2018-8174<\/a><\/u>, cette vuln\u00e9rabilit\u00e9 permet aux cybercriminels d\u2019ex\u00e9cuter du code HTML, JavaScript ou VBScript de mani\u00e8re arbitraire. \u00c0 l\u2019image des codes qui s\u2019ex\u00e9cutent depuis Internet Explorer, un code ex\u00e9cut\u00e9 de cette mani\u00e8re est \u00ab\u00a0isol\u00e9\u00a0\u00bb, c\u2019est-\u00e0-dire qu\u2019il ne peut pas lancer de nouveaux processus, \u00e9crire sur le syst\u00e8me de fichiers, etc. Toutefois, les attaquants peuvent se servir de cette faille pour en exploiter d\u2019autres (par ex. une vuln\u00e9rabilit\u00e9 UAF de corruption de la m\u00e9moire dans le moteur VBScript) et ex\u00e9cuter du code arbitrairement dans une application Word pour prendre le contr\u00f4le du syst\u00e8me.<\/p>\n

     <\/p>\n

    Conclusion<\/strong><\/p>\n

    Si elles prolif\u00e8rent d\u00e9j\u00e0 depuis plus de dix ans, les attaques bas\u00e9es sur les documents sont r\u00e9cemment mont\u00e9es d\u2019un cran, tant en nombre qu\u2019en complexit\u00e9. Cette tendance peut s\u2019expliquer par la difficult\u00e9 croissante \u00e0 utiliser les exploits de navigateurs, en raison du tour de vis op\u00e9r\u00e9 par leurs d\u00e9veloppeurs. Quoi qu\u2019il en soit, les entreprises doivent savoir d\u00e9jouer ces techniques d\u2019attaque.<\/p>\n

     <\/p>\n

    Pr\u00e9vention<\/strong><\/p>\n

    Outil de protection avanc\u00e9e des terminaux, Palo Alto Networks Traps propose diverses m\u00e9thodes de pr\u00e9vention des exploits et des malwares\u00a0:<\/p>\n

      \n
    1. Examen des macros\u00a0\u2013 Traps s\u2019appuie sur le service de Threat Intelligence WildFire et des fonctions locales de machine learning pour analyser chaque document Word en qu\u00eate d\u2019\u00e9ventuelles macros malveillantes. Il peut \u00e9galement emp\u00eacher les utilisateurs d\u2019ouvrir des fichiers infect\u00e9s.<\/li>\n
    2. Pr\u00e9vention des exploits\u00a0\u2013 Gr\u00e2ce \u00e0 ses fonctions avanc\u00e9es, Traps emp\u00eache les tentatives d\u2019ex\u00e9cution de code shell malveillant sur les terminaux.<\/li>\n
    3. Surveillance par d\u00e9faut des applications Office \u2013 Traps exploite cette fonction pour \u00e9viter un d\u00e9tournement malveillant des processus l\u00e9gitimes int\u00e9gr\u00e9s.<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"

      Nous utilisons quasiment tous Microsoft Office. Supports professionnels, re\u00e7us \u00e9lectroniques, contrats de location\u2026 les documents Office nous sont aussi utiles que familiers. Cela explique entre autre pourquoi nous sommes tr\u00e8s enclins \u00e0 …<\/p>\n","protected":false},"author":575,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[3546],"tags":[],"coauthors":[6203],"class_list":["post-93317","post","type-post","status-publish","format-standard","hentry","category-non-classifiee"],"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/93317","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/users\/575"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/comments?post=93317"}],"version-history":[{"count":1,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/93317\/revisions"}],"predecessor-version":[{"id":93318,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/93317\/revisions\/93318"}],"wp:attachment":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media?parent=93317"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/categories?post=93317"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/tags?post=93317"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/coauthors?post=93317"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}