Un bogue ‘zero-day’ de Microsoft Office exploité dans la nature
Selon des chercheurs en cybersécurité, ce qui semble être une nouvelle vulnérabilité de type "zero-day" de Microsoft Office pourrait avoir été exploitée dans la nature.
Le chercheur « nao_sec » a signalé sur Twitter la découverte d’un document Word malveillant téléversé depuis le service d'analyse des logiciels malveillants VirusTotal. Ce document est conçu pour exécuter un code PowerShell arbitraire lorsqu'il est ouvert.
"Le document utilise la fonction de modèle distant de Word pour récupérer un fichier HTML à partir d'un serveur Web distant, qui utilise à son tour le schéma URI ms-msdt MSProtocol pour charger du code et exécuter du PowerShell", a expliqué le chercheur Kevin Beaumont après avoir analysé le malware, ajoutant : "Cela ne devrait pas être possible."
Le chercheur Beaumont a noté que le code est exécuté même si les macros sont désactivées.
"L'affichage protégé s'active, mais si vous changez le document en format RTF, il s'exécute sans même ouvrir le document (via l'onglet de prévisualisation dans l'Explorateur) et encore moins l'affichage protégé", a déclaré Beaumont.
D’après les tests réalisés par plusieurs chercheurs, cette faille zéro-day peut endommager les versions 2016 à 2021 de Microsoft Office.
Des mesures d’atténuation potentielles ont été proposées par les chercheurs en attendant que des correctifs ou des solutions de contournement soient disponibles.