Microsoft alerte les utilisateurs d’Office à cause d’une campagne de spam

Les experts en sécurité du géant du logiciel Microsoft ont lancé une mise en garde il y a une semaine au sujet d’une vague de spam en cours qui propage des mails renfermant des fichiers de type RTF malveillants qui infectent les utilisateurs avec des programmes malveillants sans interaction de l’utilisateur, dès que les utilisateurs ouvrent les documents RTF. Cette campagne de malware cible les clients Microsoft Office en Europe. Par conséquent, les hackers arrivent facilement à infecter les PC non protégées.

Contrairement aux attaques de phishing, Microsoft informe que les victimes reçoivent un document par mail. Si l’utilisateur récupère et ouvre la pièce jointe, le document essaiera d’exécuter des scripts rédigés en PowerShell, VBScript ou alors en PHP. Ce code est un des moyens qui permet de charger un malware hébergé sur un serveur que détient le hacker. Le vecteur d’infection initial repose sur une ancienne vulnérabilité datant de 2017 que Microsoft avait déjà corrigé. Ce sont les chercheurs en sécurité de la société Embeli qui avait découvert un bug dans un composant. Cela permettait aux hackers d’exécuter du code sur des appareils chaque fois qu’un utilisateur ouvrait un fichier Office doté d’une exploitation spéciale de cette vulnérabilité.

Indispensable d’exécuter les mises à jour

Ce qui est positif, c’est que les utilisateurs peuvent ne pas être inquiétés par cette campagne de spam. Tous les utilisateurs qui ont procédé aux mises à jour de sécurité des correctifs de novembre 2017 devraient être en sécurité. Les responsables de Microsoft informent que “la vulnérabilité CVE-2017-11882 a été corrigée en 2017, mais à ce jour, nous continuons de recenser des cas d’attaques exploitant la faille”. A noter que si vous utilisez une version récente de Microsoft Office comme celle de 2019 vous n’êtes pas concerné par cette faille.

Alors que Microsoft semblait avoir perdu le code source de cet ancien composant avec un deuxième bug Equation Editor en 2018. Le géant Américain a décidé de supprimer complètement l’ancien composant en 2018. Bien que Microsoft ait averti dans la semaine que CVE-2017-11882 est utilisé pour des campagnes de spam de masse, la faille est très populaire auprès des groupes de hackers engagés dans des attaques très ciblées, comme par exemple l’espionnage économique ou la collecte de renseignement. Notamment cette semaine, dans deux rapports différents, FireEye a déclaré que CVE-2017-11882 a été piraté entre différents groupes de cyber-espionnage chinois.

Le fait que plusieurs groupes de pirates informatiques chinois utilisent cette faille nous montre son efficacité.

Nous conseillons bien évidemment d’appliquer les correctifs nécessaires.