![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2019\/04\/11102139\/office_platforms_diagram.png\")
<\/p>\nCertaines interventions de la conf\u00e9rence SAS 2019 ne se concentrent pas seulement sur les attaques APT sophistiqu\u00e9es et pr\u00e9f\u00e8rent parler du travail quotidien de nos chercheurs d\u2019anti-malwares. Nos experts Boris Larin, Vlad Stolyarov, et Alexander Kiskin ont pr\u00e9par\u00e9 une \u00e9tude intitul\u00e9e \u00ab\u00a0Catching multilayered zero-day attacks on MS Office\u00a0\u00bb (Capture des attaques zero-day multicouches de Microsoft Office). Leur recherche se concentre principalement sur les instruments qui leur permettent d\u2019analyser les malwares, mais ils attirent aussi l\u2019attention sur le contexte actuel des cybermenaces de Microsoft Office.<\/p>\n
Le panorama des menaces a subi de nombreux changements au cours de ces deux derni\u00e8res ann\u00e9es et ils ne sont pas pass\u00e9s inaper\u00e7us. Nos experts ont compar\u00e9 le nombre d\u2019utilisateurs attaqu\u00e9s par les diff\u00e9rentes plateformes g\u00e9n\u00e9ralement prises pour cibles vers la fin de l\u2019ann\u00e9e derni\u00e8re avec les donn\u00e9es d\u2019il y a seulement deux ans. Ils ont d\u00e9couvert que les cybercriminels ont pris leurs distances avec les vuln\u00e9rabilit\u00e9s bas\u00e9es sur le Web en faveur de celles de MS Office, mais l\u2019\u00e9tendue de ce changement les a surpris. En quelques mois, MS Office est devenu la plateforme la plus souvent prise pour cible, avec plus de 70 % de la part des attaques.<\/p>\n
<\/p>\n
Un paquet d\u2019exploits zero-day pour MS Office a commenc\u00e9 \u00e0 appara\u00eetre l\u2019an dernier. Les exploits d\u00e9butent g\u00e9n\u00e9ralement par une campagne cibl\u00e9e, mais ils peuvent aussi devenir publics et finalement \u00eatre int\u00e9gr\u00e9s dans un traitement de texte malveillant. Le d\u00e9lai de r\u00e9ponse a pourtant \u00e9t\u00e9 consid\u00e9rablement r\u00e9duit. Par exemple, si l\u2019on consid\u00e8re la premi\u00e8re vuln\u00e9rabilit\u00e9 de l\u2019\u00e9diteur d\u2019\u00e9quation que notre expert a constat\u00e9, CVE-2017-11882, une \u00e9norme campagne spam a commenc\u00e9 le jour m\u00eame de la publication de la preuve du concept. C\u2019est aussi le cas avec d\u2019autres vuln\u00e9rabilit\u00e9s. Une fois que le rapport technique d\u2019une vuln\u00e9rabilit\u00e9 est publi\u00e9, un exploit est mis en service sur le march\u00e9 noir quelques jours plus tard. Les bugs aussi sont beaucoup moins complexes, et le cybercriminel n\u2019a parfois besoin que d\u2019un compte-rendu d\u00e9taill\u00e9 pour construire un exploit efficace.<\/p>\n
Vous n\u2019avez qu\u2019\u00e0 jeter un coup d\u2019\u0153il aux vuln\u00e9rabilit\u00e9s exploit\u00e9es en 2018 pour voir que cette id\u00e9e se confirme. Les auteurs de malwares pr\u00e9f\u00e8rent les bugs simples et logiques. C\u2019est pourquoi les vuln\u00e9rabilit\u00e9s de l\u2019\u00e9diteur d\u2019\u00e9quation CVE-2017-11882 et CVE-2018-0802 sont les bugs les plus exploit\u00e9s de MS Office. Autrement dit, ils sont fiables et fonctionnent dans toutes les versions de Word vendues depuis 17 ans. Plus important encore, l\u2019\u00e9laboration d\u2019un exploit pour ce programme ne requiert aucune comp\u00e9tence avanc\u00e9e puisque le syst\u00e8me binaire de l\u2019\u00e9diteur d\u2019\u00e9quation ne disposait pas des m\u00e9thodes de protection et de r\u00e9duction modernes comme c\u2019est le cas avec les applications actuelles.<\/p>\n
\u00c0 noter\u00a0: aucune des vuln\u00e9rabilit\u00e9s les plus exploit\u00e9es ne se trouvent dans MS Office. Il s\u2019agit plut\u00f4t de vuln\u00e9rabilit\u00e9s d\u2019\u00e9l\u00e9ments associ\u00e9s.<\/p>\n
La surface d\u2019attaque de MS Office est immense puisqu\u2019il faut prendre en compte de nombreux formats de fichiers compliqu\u00e9s, l\u2019int\u00e9gration sous Windows, et l\u2019interop\u00e9rabilit\u00e9. Si l\u2019on consid\u00e8re la s\u00e9curit\u00e9 du programme, une grande partie des d\u00e9cisions que Microsoft a pris lorsqu\u2019Office a \u00e9t\u00e9 cr\u00e9\u00e9 sont inadapt\u00e9es de nos jours, mais en les modifiant la r\u00e9trocompatibilit\u00e9 pourrait \u00eatre affect\u00e9e.<\/p>\n
Nous avons d\u00e9couvert que de multiples vuln\u00e9rabilit\u00e9s zero-day ont \u00e9t\u00e9 exploit\u00e9es en 2018. C\u2019est notamment le cas de CVE-2018-8174 (vuln\u00e9rabilit\u00e9 dans le moteur de VBScript et de l\u2019ex\u00e9cution de code \u00e0 distance de Windows<\/a>). Cette vuln\u00e9rabilit\u00e9 est particuli\u00e8rement int\u00e9ressante puisque l\u2019exploit a \u00e9t\u00e9 d\u00e9tect\u00e9 dans un document Word, alors que la vuln\u00e9rabilit\u00e9 se trouve en r\u00e9alit\u00e9 sur Internet Explorer. Consultez l\u2019article publi\u00e9 sur Securelist<\/a> pour obtenir plus de renseignements.<\/p>\n Les [KESB placeholder]produits de s\u00e9curit\u00e9 de Kaspersky pour les points de terminaison[\/KESB placeholder] ont des capacit\u00e9s heuristiques tr\u00e8s avanc\u00e9es en mati\u00e8re de d\u00e9tection de menaces d\u00e9livr\u00e9es par les documents MS Office. C\u2019est une des premi\u00e8res couches de d\u00e9tection. Le moteur heuristique conna\u00eet tous les formats de fichiers et les obfuscations de documents, et est utilis\u00e9 comme premi\u00e8re ligne de d\u00e9fense. Lorsque nous d\u00e9tectons un objet malveillant nous ne nous limitons pas \u00e0 dire qu\u2019il est dangereux. L\u2019objet passe ensuite \u00e0 travers diff\u00e9rentes couches de s\u00e9curit\u00e9. La sandbox est une technologie particuli\u00e8rement efficace dans ce cas.<\/p>\n Dans le domaine de la s\u00e9curit\u00e9 des informations, les sandboxs sont utilis\u00e9es pour isoler un environnement non s\u00e9curis\u00e9 d\u2019un environnement prot\u00e9g\u00e9, et vice versa, afin d\u2019\u00e9viter que les vuln\u00e9rabilit\u00e9s soient exploit\u00e9es, et pour analyser le code malveillant. Notre sandbox est un syst\u00e8me de d\u00e9tection de malwares qui ex\u00e9cute un objet malveillant dans une machine virtuelle avec un syst\u00e8me d\u2019exploitation parfaitement \u00e9quip\u00e9, et d\u00e9tecte l\u2019activit\u00e9 nuisible de l\u2019objet en analysant son comportement. Cette technique \u00e9t\u00e9 d\u00e9velopp\u00e9e il y a quelques ann\u00e9es pour que nous puissions l\u2019utiliser au sein de notre infrastructure, puis est devenue une des fonctions que propose Kaspersky Anti-Targeted Attack Platform<\/a>.<\/p>\n Mircosoft Office est une cible particuli\u00e8rement attrayante pour les pirates informatiques, et va le rester. Les cybercriminels choisissent les cibles les plus faciles et les fonctions h\u00e9rit\u00e9es. Pour prot\u00e9ger votre entreprise, nous vous conseillons d\u2019utiliser des solutions qui ont d\u00e9montr\u00e9 leur efficacit\u00e9 et ont d\u00e9tect\u00e9 beaucoup de CVEs.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Le discours prononc\u00e9 lors de la conf\u00e9rence SAS 2019 se concentre sur le panorama des menaces de Microsoft Office et les technologies qui nous permettent d\u2019attraper les exploits zero-day.<\/p>\n","protected":false},"author":2706,"featured_media":11602,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[3437,3483,602,3438,1038,322],"class_list":{"0":"post-11601","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-thesas2019","10":"tag-office","11":"tag-sas","12":"tag-sas-2019","13":"tag-security-analyst-summit","14":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ms-office-vulnerabilities-sas-2019-2\/11601\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ms-office-vulnerabilities-sas-2019\/15601\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/13145\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/17521\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ms-office-vulnerabilities-sas-2019\/15670\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/14369\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ms-office-vulnerabilities-sas-2019\/18244\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ms-office-vulnerabilities-sas-2019\/17173\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ms-office-vulnerabilities-sas-2019\/22603\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ms-office-vulnerabilities-sas-2019\/5876\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/26415\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ms-office-vulnerabilities-sas-2019\/11676\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/ms-office-vulnerabilities-sas-2019\/10600\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ms-office-vulnerabilities-sas-2019\/19022\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ms-office-vulnerabilities-sas-2019\/18258\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ms-office-vulnerabilities-sas-2019\/22452\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ms-office-vulnerabilities-sas-2019\/22389\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/sas\/","name":"SAS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11601","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=11601"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11601\/revisions"}],"predecessor-version":[{"id":12688,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11601\/revisions\/12688"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/11602"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=11601"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=11601"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=11601"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Comment nous d\u00e9tectons les vuln\u00e9rabilit\u00e9s<\/h2>\n