- La comparaison
- Tutoriels
- Cet exploit Microsoft Office a été corrigé il y a des années, mais les pirates en abusent toujours.
Bien que les éditeurs de logiciels publient régulièrement des correctifs pour empêcher l'exploitation des vulnérabilités, les clients oublient souvent de les installer et les cybercriminels en sont bien conscients. Menlo Labs a récemment observé une série d'attaques dans lesquelles les cybercriminels continuent d'exploiter une ancienne vulnérabilité, identifiée comme CVE-2017-11882, dans Microsoft Office malgré le fait qu'elle ait été corrigée il y a plus de deux ans. Ces attaques visaient des entreprises des secteurs de l'immobilier, du divertissement et de la banque à Hong Kong et en Amérique du Nord. La vulnérabilité utilisée dans les attaques existe dans Microsoft Equation Editor dans Office, qui permet aux utilisateurs d'intégrer des équations ou des formules mathématiques dans n'importe quel document Office. Selon un récent rapport du FBI, CVE-2017-11882 est l'une des 10 principales vulnérabilités que les cybercriminels exploitent régulièrement.
Tirez parti des anciennes vulnérabilités
La première attaque observée par Menlo Labs a utilisé un fichier RTF pour activer CVE-2017-1182 dans Microsoft Office. Si un utilisateur ouvre le document Word présent sur le site loginto.me, la vulnérabilité se déclenche et une requête HTTP est faite vers un site bit.ly. Le site bit.ly redirige alors vers le Femto Loader qui télécharge un exécutable. Une fois l'exécutable ouvert sur un point de terminaison, une autre requête HTTP à paste.ee est effectuée à partir de laquelle la charge utile de l'attaquant est téléchargée. La charge utile contient le cheval de Troie d'accès à distance NetWire (RAT) qui est utilisé pour voler les informations d'identification et les données de carte de paiement. La deuxième attaque de Menlo Labs vue dans la nature a été hébergée sur dropsend.com, qui ressemble à un site Web de partage de fichiers populaire. Ce site Web a été utilisé pour héberger un fichier Microsoft Excel malveillant qui envoie une requête HTTP pour télécharger le logiciel malveillant Agent Tesla lorsqu'il est ouvert. Tesla Agent est un RAT capable de voler des informations d'identification, de prendre des captures d'écran et de télécharger des fichiers supplémentaires. La dernière attaque qui a exploité CVE-2017-1182 a utilisé le leurre d'autorisation comme nom de fichier et le fichier lui-même était hébergé sur OneDrive. Lorsqu'un utilisateur ouvre le fichier Excel malveillant, il télécharge et exécute le fichier contenant le Houdini ou le H-Worm RAT. Dans un article de blog, le directeur de la recherche sur la sécurité chez Menlo Labs, Vinay Pidathala a fourni des informations supplémentaires sur la découverte de l'entreprise, en disant : "Le fait que CVE-2017-11882 continue d'être utilisé atteste non seulement de la fiabilité de l'exploit, mais aussi le fait que certaines entreprises utilisent encore des logiciels obsolètes. Il est essentiel de corriger les applications et les systèmes d'exploitation pour les protéger des problèmes de sécurité, mais la pénurie de professionnels de la cybersécurité combinée à l'environnement commercial en constante évolution rend plus difficile pour les entreprises d'établir un processus de gestion des correctifs approprié. "