Méfiez-vous: ce malware se cache dans un ficher Word

Publié le
macros,Microsoft Word,logiciel Word,Cyber-sécurité,pirate,zero-day,faille,Follina
Image illustration. (Photo AFP)

Une nouvelle faille a été découverte dans Microsoft Word par laquelle un hacker peut prendre le contrôle d’un ordinateur et attaquer d’autres machines sur le réseau local, avec un simple document et ce, sans utiliser les macros. 

Baptisée Follina, la faille permet même de lancer le code malveillant sans que le document ne soit ouvert par l’utilisateur, grâce à la prévisualisation de l’explorateur de fichiers. La faille, classée « zero-day », autrement dit déjà exploitée par les pirates et sans mise à jour, a averti Microsoft.

Le code utilise la fonction de modèle distant du logiciel pour charger un fichier HTML depuis un serveur. Celui-ci détourne ensuite l’outil de diagnostic du support Microsoft (MSDT) pour charger un fichier et exécuter des commandes PowerShell et ce, même si les macros sont désactivées.

Lire aussi. La cyber-criminalité a coûté plus de 6.000 milliards de dollars en 2021

Lorsque Word ouvre les fichiers au format .docx en mode protégé, le code est alors exécuté uniquement si l’utilisateur clique sur « Activer la modification ». Toutefois, s’il est au format .rtf, cette protection n’est pas activée. De plus, il suffit dans ce cas de le sélectionner dans l’explorateur de fichiers, sans l’ouvrir, pour que le code soit exécuté, explique-t-on.

Quelle prévention?

Le code fonctionne sur toutes les versions de Microsoft Office depuis au moins 2013, y compris Office 2021, même avec toutes les mises à jour. Le problème avait déjà été signalé à Microsoft en avril par une équipe d’étudiants qui chasse les failles.

À l’heure actuelle, il n’existe pas de moyen simple de se protéger de cette attaque. En attendant une mise à jour, la solution la plus courante semble d’éditer le registre pour empêcher le lancement de l’outil de diagnostic depuis Word. Pour ce faire, il faut créer la valeur EnableDiagnostics dans HKLM\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics et la mettre à 0, note Mocrosoft.

Cette solution est toutefois réservée aux utilisateurs avancés car toute erreur de modification du registre risquerait d’endommager le système et empêcher l’ordinateur de démarrer.

La rédaction vous conseille

Les titres du matinNewsletter

Tous les jours

Recevez chaque matin, l'actualité du jour : politique, international, société...

Méfiez-vous: ce malware se cache dans un ficher Word

S'ABONNER
Partager
S'abonner