Microsoft a averti que les attaquants exploitaient activement une vulnérabilité d'exécution de code à distance en utilisant des fichiers Office 365 et Office 2019 malveillants sur Windows 10.

Le bogue pourrait se trouver dans MSHTML, le moteur de rendu du navigateur que les documents Office utilisent également.

La vulnérabilité connue sous le nom de CVE-2021-40444 affecte les serveurs Windows de Windows Server 2008 à Windows Server 2019 et de Windows 8.1 à Windows 10 et a un niveau de gravité de 8,8 sur 10.

Le géant du logiciel est au courant des attaques ciblées qui tentent d'exploiter la vulnérabilité en envoyant des documents Office préparés spécifiquement pour les victimes potentielles.

La société a déclaré : Un attaquant pourrait créer un contrôle ActiveX malveillant à utiliser par un document Office hébergeant le moteur de rendu du navigateur. L'attaquant doit alors convaincre l'utilisateur d'ouvrir le document malveillant.

Cependant, l'attaque est déjouée si Office s'exécute avec la configuration par défaut, car les documents du Web sont ouverts en mode Vue protégée ou Application Guard pour Office 365.

La vue protégée est un mode en lecture seule dans lequel la plupart des fonctions d'édition sont désactivées. Alors qu'Application Guard met en quarantaine les documents non fiables, les empêchant d'accéder aux ressources de l'entreprise, aux intranets ou à d'autres fichiers sur le système.

Les systèmes avec Microsoft Defender Antivirus et Defender for Endpoint actif (version 1.349.22.0 et supérieure) bénéficient d'une protection contre les exploits CVE-2021-40444.

Et la plate-forme de sécurité d'entreprise de l'entreprise affiche des alertes sur cette attaque avec le nom « Suspicious Cpl File Execution ».

Lire aussi : Microsoft Met En Garde Ses Clients Du Cloud Microsoft Azure

Les chercheurs de plusieurs sociétés de cybersécurité ont trouvé et signalé la vulnérabilité : Hefei Lee d'EXPMON, Danish Kizakkinan, Brice Abdo, Jinwe Jiang de Mandiant et Rick Cole de Microsoft Security Intelligence.

EXPMON (Exploit Monitoring Tool) a déclaré dans un tweet qu'il avait découvert la vulnérabilité après avoir découvert une attaque très sophistiquée ciblant les utilisateurs d'Office.

Les chercheurs d'EXPMON ont reproduit l'attaque sur la dernière version d'Office 2019 et d'Office 365 sur Windows 10.

Les attaquants ont utilisé un fichier DOCX et, lorsqu'il a été ouvert, le document a chargé Internet Explorer pour afficher une page Web distante à partir de la destination de la menace.

Le malware est ensuite téléchargé à l'aide d'un contrôle ActiveX défini sur la page Web. La menace est également mise en œuvre à l'aide d'une astuce appelée Cpl File Execution, mentionnée dans les instructions de Microsoft.

Puisqu'il n'y a pas de mise à jour de sécurité disponible pour le moment. La société a proposé la solution de contournement suivante : Désactivez l'installation de tous les contrôles ActiveX dans Internet Explorer.

L'actualisation du registre Windows garantit qu'ActiveX est rendu inactif pour tous les sites, tandis que les contrôles ActiveX disponibles continuent de fonctionner.