L’outil de bureautique présenterait une faille zero-day, qui passerait inaperçue aux yeux des antivirus. Même sans les macros Office, elle serait exploitable.
Depuis le début de l’année, les cyberattaques se sont multipliées et sont devenues massives. La guerre opposant l’Ukraine à la Russie a engendré une recrudescence de ces actes, demandant ainsi une vigilance particulière aux éditeurs d’applications comme de logiciels. Alors que Microsoft se concentre sur la refonte et l’amélioration de son système d’exploitation Windows 11, sa suite bureautique Office présenterait actuellement une faille majeure.
Cette vulnérabilité aurait été repérée par des chercheurs en cybersécurité. Elle concerne l’outil Word, et plus précisément les versions d’Office 2013, 2016, 2019 et 2021. Baptisée « Follina », elle présenterait la particularité d’être indétectable pour la plupart des antivirus. Ce qui pose d’autant plus de problème qu’un utilisateur peut être infecté totalement à son insu et ainsi subir un vol de données personnelles, par exemple.
Des malwares qui pourraient agir en toute discrétion
Pour ce faire, cette faille « zero-day » permettrait au document d’utiliser « la fonctionnalité de modèle distant de Word pour récupérer un fichier HTML à partir d’un serveur Web distant, qui à son tour utilise le schéma d’URI ms-msdt MSProtocol pour charger du code et exécuter du PowerShell », rapporte le chercheur Kevin Beaumont sur Twitter. En d’autres termes, le programme malveillant ne serait pas lancé directement depuis le document Word, mais via un serveur distant. Aucune autorisation ne serait alors nécessaire, et l’exploitation de cette faille serait également possible après avoir désactivé les macros.
Une faille ne pouvant être comblée sans l’intervention de Microsoft
Les macros Office sont souvent utilisés pour les malwares. Il s’agit à la base de petits programmes très pratiques permettant d’automatiser certaines tâches et donc d’être plus efficace et productif. Mais les pirates utilisent cette fonctionnalité pour répandre leurs malwares. C’est pourquoi, il est généralement recommandé de les désactiver. En début d’année, Microsoft lui-même a indiqué officiellement qu’il bloquerait automatiquement certains macros lorsque les documents concernés sont téléchargés depuis Internet. De cette manière, il entend limiter la propagation des malwares.
La plus grande difficulté face à cette vulnérabilité zero-day réside donc dans le fait qu’elle ne nécessite pas de désactiver les macros pour s’en prémunir.
À noter que, selon le chercheur, Microsoft aurait corrigé cette faille dans son Office 365 Insider. Cette version de test n’est toutefois pas ouverte à tous. Il faudra donc probablement patienter jusqu’au déploiement de sa version finale pour qu’elle soit comblée.
