Des pirates peuvent prendre la main dès l'ouverture d’un fichier Word

5437685854_d630fceaff_b-

Baptisée Follina, la faille permet même de lancer le code malveillant sans que le document ne soit ouvert par l'utilisateur

1
Partager :

Washington - Une nouvelle faille a été découverte dans Microsoft Word par laquelle un hacker peut prendre le contrôle d'un ordinateur et attaquer d'autres machines sur le réseau local, avec un simple document et ce, sans utiliser les macros.

Baptisée Follina, la faille permet même de lancer le code malveillant sans que le document ne soit ouvert par l'utilisateur, grâce à la prévisualisation de l'explorateur de fichiers. La faille, classée "zero-day", autrement dit déjà exploitée par les pirates et sans mise à jour, a averti Microsoft.

Le code utilise la fonction de modèle distant du logiciel pour charger un fichier HTML depuis un serveur. Celui-ci détourne ensuite l'outil de diagnostic du support Microsoft (MSDT) pour charger un fichier et exécuter des commandes PowerShell et ce, même si les macros sont désactivées, selon la même source.

Lorsque Word ouvre les fichiers au format .docx en mode protégé, le code est alors exécuté uniquement si l'utilisateur clique sur "Activer la modification". Toutefois, s'il est au format .rtf, cette protection n'est pas activée. De plus, il suffit dans ce cas de le sélectionner dans l'explorateur de fichiers, sans l'ouvrir, pour que le code soit exécuté, explique-t-on.

Le code fonctionne sur toutes les versions de Microsoft Office depuis au moins 2013, y compris Office 2021, même avec toutes les mises à jour. Le problème avait déjà été signalé à Microsoft en avril par une équipe d'étudiants qui chasse les failles.

À l'heure actuelle, il n'existe pas de moyen simple de se protéger de cette attaque. En attendant une mise à jour, la solution la plus courante semble d'éditer le registre pour empêcher le lancement de l'outil de diagnostic depuis Word. Pour ce faire, il faut créer la valeur EnableDiagnostics dans HKLM\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics et la mettre à 0, note Mocrosoft.

Cette solution est toutefois réservée aux utilisateurs avancés car toute erreur de modification du registre risquerait d'endommager le système et empêcher l'ordinateur de démarrer.

 

lire aussi