Une faille non corrigée dans Word est exploitée en ce moment même pour attaquer des entreprises de manière très sélective. Menées à l'aide de courriers piégés, ces opérations se sont révélées particulièrement adroites et difficiles à repérer initialement. Mais les éditeurs d'antivirus commencent à mettre leurs produits à jour afin de détecter l'exploitation de cette vulnérabilité.

au sommaire


    Le cheval de Troie

    Le cheval de Troie

    Une vulnérabilité non corrigée dans Word a déjà de quoi rendre nerveux les responsables de la sécurité informatique. Mais lorsqu'elle est exploitée en conjonctionconjonction avec un peu de fourberie, un brin de paranoïa et surtout beaucoup de discrétion, le cocktail devient alors franchement détonnant.

    Et ce cocktail, c'est précisément ce qu'ont subi dernièrement une poignée d'entreprises aux États-Unis et en Europe. Il s'agit d'opérations furtives, personnalisées et surtout à petite échelle afin de ne pas attirer l'attention.

    Tout commence par des courriers envoyés à quelques personnels de l'entreprise. Première astuce des attaquants : le nom de domaine d'où provient l'email est proche de celui de l'entreprise afin de ressembler à un courrier interne. Ces domaines ont donc été déposés spécifiquement pour chaque entreprise ciblée, avant l'attaque.

    Les emails contiennent un document Word piégé conçu pour exploiter une vulnérabilité jusqu'à présent inconnue (et donc non corrigée) du traitement de texte. Bien entendu, ils sont présentés de sorte à ce que l'utilisateur pense avoir à faire à un quelconque document de travail (avec par exemple des sujets tels que "Notice" ou "RE Plan for final agreement").

    Un code malicieux propre sur lui

    Une fois le document ouvert, le piège, lui, se referme : un code malicieux s'exécute grâce à un dépassement de pile dans Word. Il dépose tout d'abord un bot sur la machine, puis il créé octet par octet un nouveau cheval de Troie sur le disque dur, qu'il exécute ensuite. C'est ce programme qui fera le sale boulot. Mais avant, le code malicieux contenu dans le document Word réalise une dernière tâche : il s'efface lui-même du fichier !

    Bien entendu, l'exploitation de la vulnérabilité fait crasher Word. Le traitement de texte affiche alors une erreur, indique que le fichier est peut-être corrompu (ce qui était le cas à l'origine) et propose d'essayer de l'ouvrir à nouveau. Cette fois-ci, puisque le code malicieux a recréé une version propre du document Word, le fichier s'ouvre sans difficulté.

    Le bot déposé initialement sur le PC se charge alors de collecter un maximum d'informations sur son environnement (niveau de correctifs, type d'antivirusantivirus installé, contenu du dossier "Mes Documents", liste des programmes qui démarrent automatiquement, configuration d'InternetInternet Explorer...). Le SANS Institute, qui a procédé à l'analyse de l'une de ces attaques, ne donne cependant aucune indication quant à l'utilisation qui est faite de ces informations par la suite.

    Le cheval de Troie, en revanche, a été analysé en profondeur : il utilise des techniques de rootkitsrootkits afin de dissimuler ses composants sur le système et communique avec un serveurserveur hébergé en Chine. Ces communications se font via une connexion HTTPHTTP afin de passer outre les pare-feupare-feu éventuels de l'entreprise. Enfin, une fois installé, le parasiteparasite offre le contrôle total du PC au pirate (exploration du disque, captures d'écrancaptures d'écran, exécution de programmes, accès à la ligne de commande, etc....).

    Aux premières heures de l'attaque, lorsque le SANS a été alerté par une entreprise victime de ce cheval de Troie, aucun antivirus parmi ceux utilisés par Virus Total n'était capable de le détecter.

    Détection

    Les éditeurs d'antivirus ont cependant désormais fait leur travail : McAfee, Symantec, F-Secure et Trend Micro ont par exemple ajouté à leur base de signatures l'exploit Word ou l'un ou l'autre des codes malicieux. De son côté, MicrosoftMicrosoft a fait de même pour son service "Windows Live Safety Center". Pour ce qui est du correctif officiel, en revanche, il faudra patienter : l'éditeur affirme qu'il s'agit d'une attaque "de très petite envergure" et que cela peut donc attendre le 13 juin prochain, date de la prochaine livraison des correctifs.

    D'ici là, mettez donc vos antivirus à jour, et méfiez-vous des documents Word non sollicités. Pour le reste, puisqu'on nous dit que c'est une attaque de très petite envergure...