/, Malware - Ransomware, Sécurité de la messagerie/La fonctionnalité OLE exploitée pour des attaques Zero Day : des utilisateurs Word menacés.

La fonctionnalité OLE exploitée pour des attaques Zero Day : des utilisateurs Word menacés.

Une vulnérabilité récemment découverte dans Microsoft Office a été exploitée pour infecter les ordinateurs avec un nouveau type de malware. Les pirates utilisent des documents Word piégés pour envoyer un malware aux victimes imprudentes. La fonctionnalité OLE exploitée pour des attaques Zero Day permet aux utilisateurs de lier des documents et d’autres objets – dans le cas présent, un serveur externe malveillant.

 

Actuellement, cette attaque affecte uniquement les utilisateurs de PC, en raison des fonctionnalités exploitées pour diffuser efficacement le malware. Mais il se pourrait que les pirates développent une nouvelle version destinée aux utilisateurs de Mac dans un futur proche.

La fonctionnalité OLE exploitée pour des attaques Zero Day, comment ça marche ?

  1. Un document Word malveillant contenant un objet OLE2link est envoyé par email
  2. Lorsque l’email est ouvert, le code d’exploitation winword.exe intégré connecte l’ordinateur au serveur du pirate
  3. Une fois connecté, une application HTML camouflée se télécharge automatiquement sous le format Rich Text Format (.rtf) de Microsoft
  4. L’application s’exécute en tant que fichier .hta et télécharge des charges malveillantes additionnelles issues de familles de malwares bien connues
  5. Après le téléchargement des charges additionnelles, l’exploit ferme le document Word infectieux et en lance un autre afin que l’utilisateur ne se rende pas compte qu’il vient d’être attaqué

Ce malware unique exploite le système Object Linking and Embedding (OLE) de Windows, une fonctionnalité importante de la suite Microsoft Office.

Il semble que ce malware puisse s’installer sur des ordinateurs parfaitement mis à jour. Tous les utilisateurs, peu importe leur version de Word, sont des victimes potentielles. {Mise à jour : patch disponible dès le 11 avril}

Mais Microsoft Office n’est-il pas doté de mesures de sécurité ?

Si, mais étant donné que les fichiers .hta sont exécutables, le pirate peut provoquer une exécution de code arbitraire et accéder ainsi à la machine de sa victime. Grâce à cet accès, les pirates peuvent passer outre les protections de mémoire incorporées par Microsoft.

Pourquoi ce malware est-il unique en son genre ?

Les pirates utilisent souvent des emails renfermant des pièces jointes malveillantes pour pousser leurs victimes à télécharger des malwares, des ransomwares et d’autres types de virus. Mais ce malware comporte quelques caractéristiques différentes :

  • Il est capable de contourner les outils de protection conçus par Windows pour contrer des attaques similaires
  • Les victimes ne doivent pas activer les macros. Le malware se télécharge dès que l’ouverture du document Word
  • Une fois l’infiltration terminée, un autre document Word s’ouvre afin que le malware puisse s’installer sans que l’utilisateur s’en rende compte

Ce malware n’exige pas que les utilisateurs activent les macros, le logiciel se télécharge automatiquement.

Comment pouvez-vous vous défendre contre ce malware ?

Premièrement, vous devez toujours mettre votre logiciel à jour.. Au moment de publier les mises à jour continues, les développeurs incluent souvent des correctifs de sécurité qui visent à contrer ces menaces.

Deuxièmement, vous ne devez jamais ouvrir des fichiers envoyés par des expéditeurs inconnus.. Même si vous pensez que le fichier vient bel et bien d’un expéditeur connu, il est primordial de vérifier son identité. En effet, les malwares et les ransomwares sont presque toujours envoyés via des emails de spear phishing. Si vous devez vraiment ouvrir un document potentiellement dangereux, utilisez Microsoft Office Protected View.

C’est très important. D’autant plus que le 11 avril dernier, Microsoft a publié un patch pour corriger la faille (que vous devriez télécharger immédiatement). Mais il est primordial de savoir qu’il y aura d’autres attaques. Les pirates adaptent continuellement leur logiciel afin de passer à travers tous les types de systèmes de sécurité.

91 % des malwares se diffusent grâce à un email.

En réalité, les pirates trouveront toujours une faille à exploiter dans les logiciels populaires.. Une fois que les pirates découvrent comment exploiter une vulnérabilité, ils développent un malware et tentent de le diffuser par email à un maximum de victimes avant qu’elle ne soit patchée. Tout commence par un email…

Protection avancée des emails

Vade Secure fournit une solution de sécurité des emails avancée qui défend votre entreprise de toutes les menaces connues et inconnues, notamment :

  • Les malwares
  • Les ransomwares
  • Les attaques Zero Day
  • Le spear phishing

Ne soyez pas protégés uniquement de certaines menaces, mais bien de toutes les menaces – y compris celles qui n’ont pas encore été démasquées par les filtres anti-spam classiques.

 

Notre approche sur plusieurs niveaux munie d’une intelligence artificielle analyse, identifie et isole les logiciels malveillants avant que les utilisateurs n’y soient exposés. Nous décelons les menaces connues grâce à deux scanners antivirus et nous vous protégeons des menaces inconnues grâce à des analyses techniques et comportementales approfondies.

Si votre entreprise était équipée de la solution Vade Secure, ce malware Word n’aurait présenté aucun problème. Notre système de protection des emails doté d’une intelligence artificielle a détecté et analysé cette menace dès son apparition. Comment ? Au lieu de tenter de l’associer à un modèle spécifique grâce à la reconnaissance de signature, nous avons étudié le comportement du fichier malveillant. Cette méthode nous permet de vous protéger de tous les types d’attaques Zero Day.

Vous souhaitez en apprendre davantage sur la solution de protection des emails de Vade Secure ?

Nous serions ravis de répondre à toutes vos questions et de vous expliquer comment notre logiciel peut vous défendre face à ces menaces sophistiquées.

Contactez-nous dès aujourd’hui !

Par |2018-06-26T14:36:56+00:00avril 19th, 2017|Alertes dernières cyberattaques, Malware - Ransomware, Sécurité de la messagerie|Commentaires fermés sur La fonctionnalité OLE exploitée pour des attaques Zero Day : des utilisateurs Word menacés.

À propos de l'auteur : Dimitri Perret

Marketing Manager chez VadeSecure