Vulnérabilité zero-day de Microsoft Office permettant l’exécution de code à distance activement exploitée

Vulnérabilité Zero Day De Microsoft Office Permettant L'exécution De Code à

Pourquoi c’est important : Microsoft a reçu des rapports faisant état d’une vulnérabilité d’exécution de code à distance (RCE) (CVE-2021-40444) que les pirates informatiques exploitent activement. L’attaque utilise des fichiers Microsoft Office conçus de manière malveillante qui ouvrent un contrôle ActiveX à l’aide du moteur de rendu du navigateur MSHTML. Les systèmes vulnérables incluent Windows Server 2008 à 2019 et Windows 7 à 10.

Expmon, l’une des nombreuses sociétés de sécurité qui ont signalé l’exploit zero-day, a déclaré à BleepingComputer que la méthode d’attaque est fiable à 100%, ce qui la rend très dangereuse. Une fois qu’un utilisateur ouvre le document, il charge des logiciels malveillants à partir d’une source distante. Expmon a tweeté que les utilisateurs ne devraient ouvrir aucun document Office à moins qu’ils ne proviennent d’une source entièrement fiable.

Le fichier découvert par Expmon était un document Word (.docx), mais Microsoft n’a pas indiqué que l’exploit était limité aux fichiers Word. Tout document pouvant faire appel à MSHTML est un vecteur potentiel. Microsoft n’a pas encore de correctif pour la faille de sécurité, mais il répertorie certaines méthodes d’atténuation dans le rapport de bug.

En plus d’être prudent lors de l’ouverture de documents Office, l’exécution de Microsoft Office dans sa configuration par défaut ouvre les fichiers en mode Vue protégée, ce qui atténue l’attaque (Application Guard dans Office 360). De plus, Microsoft Defender Antivirus et Defender for Endpoint empêchent l’exécution de l’exploit.

Microsoft indique également que les utilisateurs peuvent désactiver l’installation de tous les contrôles ActiveX dans Internet Explorer. Cette solution de contournement nécessite un fichier de registre (.reg), que les utilisateurs peuvent trouver dans le rapport de bug. L’exécution du fichier REG transfère les nouvelles entrées dans le registre Windows. Un redémarrage est nécessaire pour que les paramètres prennent effet.