Vulnérabilités de Microsoft Office

Le discours prononcé lors de la conférence SAS 2019 se concentre sur le panorama des menaces de Microsoft Office et les technologies qui nous permettent d’attraper les exploits zero-day.

Certaines interventions de la conférence SAS 2019 ne se concentrent pas seulement sur les attaques APT sophistiquées et préfèrent parler du travail quotidien de nos chercheurs d’anti-malwares. Nos experts Boris Larin, Vlad Stolyarov, et Alexander Kiskin ont préparé une étude intitulée « Catching multilayered zero-day attacks on MS Office » (Capture des attaques zero-day multicouches de Microsoft Office). Leur recherche se concentre principalement sur les instruments qui leur permettent d’analyser les malwares, mais ils attirent aussi l’attention sur le contexte actuel des cybermenaces de Microsoft Office.

Le panorama des menaces a subi de nombreux changements au cours de ces deux dernières années et ils ne sont pas passés inaperçus. Nos experts ont comparé le nombre d’utilisateurs attaqués par les différentes plateformes généralement prises pour cibles vers la fin de l’année dernière avec les données d’il y a seulement deux ans. Ils ont découvert que les cybercriminels ont pris leurs distances avec les vulnérabilités basées sur le Web en faveur de celles de MS Office, mais l’étendue de ce changement les a surpris. En quelques mois, MS Office est devenu la plateforme la plus souvent prise pour cible, avec plus de 70 % de la part des attaques.

Un paquet d’exploits zero-day pour MS Office a commencé à apparaître l’an dernier. Les exploits débutent généralement par une campagne ciblée, mais ils peuvent aussi devenir publics et finalement être intégrés dans un traitement de texte malveillant. Le délai de réponse a pourtant été considérablement réduit. Par exemple, si l’on considère la première vulnérabilité de l’éditeur d’équation que notre expert a constaté, CVE-2017-11882, une énorme campagne spam a commencé le jour même de la publication de la preuve du concept. C’est aussi le cas avec d’autres vulnérabilités. Une fois que le rapport technique d’une vulnérabilité est publié, un exploit est mis en service sur le marché noir quelques jours plus tard. Les bugs aussi sont beaucoup moins complexes, et le cybercriminel n’a parfois besoin que d’un compte-rendu détaillé pour construire un exploit efficace.

Vous n’avez qu’à jeter un coup d’œil aux vulnérabilités exploitées en 2018 pour voir que cette idée se confirme. Les auteurs de malwares préfèrent les bugs simples et logiques. C’est pourquoi les vulnérabilités de l’éditeur d’équation CVE-2017-11882 et CVE-2018-0802 sont les bugs les plus exploités de MS Office. Autrement dit, ils sont fiables et fonctionnent dans toutes les versions de Word vendues depuis 17 ans. Plus important encore, l’élaboration d’un exploit pour ce programme ne requiert aucune compétence avancée puisque le système binaire de l’éditeur d’équation ne disposait pas des méthodes de protection et de réduction modernes comme c’est le cas avec les applications actuelles.

À noter : aucune des vulnérabilités les plus exploitées ne se trouvent dans MS Office. Il s’agit plutôt de vulnérabilités d’éléments associés.

Pourquoi ce genre de choses arrivent ?

La surface d’attaque de MS Office est immense puisqu’il faut prendre en compte de nombreux formats de fichiers compliqués, l’intégration sous Windows, et l’interopérabilité. Si l’on considère la sécurité du programme, une grande partie des décisions que Microsoft a pris lorsqu’Office a été créé sont inadaptées de nos jours, mais en les modifiant la rétrocompatibilité pourrait être affectée.

Nous avons découvert que de multiples vulnérabilités zero-day ont été exploitées en 2018. C’est notamment le cas de CVE-2018-8174 (vulnérabilité dans le moteur de VBScript et de l’exécution de code à distance de Windows). Cette vulnérabilité est particulièrement intéressante puisque l’exploit a été détecté dans un document Word, alors que la vulnérabilité se trouve en réalité sur Internet Explorer. Consultez l’article publié sur Securelist pour obtenir plus de renseignements.

Comment nous détectons les vulnérabilités

Les [KESB placeholder]produits de sécurité de Kaspersky pour les points de terminaison[/KESB placeholder] ont des capacités heuristiques très avancées en matière de détection de menaces délivrées par les documents MS Office. C’est une des premières couches de détection. Le moteur heuristique connaît tous les formats de fichiers et les obfuscations de documents, et est utilisé comme première ligne de défense. Lorsque nous détectons un objet malveillant nous ne nous limitons pas à dire qu’il est dangereux. L’objet passe ensuite à travers différentes couches de sécurité. La sandbox est une technologie particulièrement efficace dans ce cas.

Dans le domaine de la sécurité des informations, les sandboxs sont utilisées pour isoler un environnement non sécurisé d’un environnement protégé, et vice versa, afin d’éviter que les vulnérabilités soient exploitées, et pour analyser le code malveillant. Notre sandbox est un système de détection de malwares qui exécute un objet malveillant dans une machine virtuelle avec un système d’exploitation parfaitement équipé, et détecte l’activité nuisible de l’objet en analysant son comportement. Cette technique été développée il y a quelques années pour que nous puissions l’utiliser au sein de notre infrastructure, puis est devenue une des fonctions que propose Kaspersky Anti-Targeted Attack Platform.

Mircosoft Office est une cible particulièrement attrayante pour les pirates informatiques, et va le rester. Les cybercriminels choisissent les cibles les plus faciles et les fonctions héritées. Pour protéger votre entreprise, nous vous conseillons d’utiliser des solutions qui ont démontré leur efficacité et ont détecté beaucoup de CVEs.

Conseils