Avez-vous déjà entendu parler du bogue connu sous le nom de CVE-2015-1641? Si vous travaillez dans le domaine de la sécurité informatique, vous l’avez probablement fait, mais même les professionnels ont du mal à suivre tous les bogues, vulnérabilités et problèmes qui doivent être traités quotidiennement. En tant qu’expert informatique interne, « tout savoir » est impossible. C’est à ce moment-là que vous devez apprendre à vous appuyer sur des outils de qualité pour vous aider à repérer les problèmes avant même qu’ils ne surviennent. Le bogue mentionné ci-dessus est un exploit de trou de Microsoft Word et a été corrigé en avril 2015, mais il est toujours dangereux pour quiconque n’a pas institué le correctif. Souvent, les pourriels Outlook de cette nature sont ouverts par les employés et entraînent une infection.
Attaques basées sur des mots
En tant que spécialiste informatique en cybersécurité, vous réalisez que peu importe la vigilance ou la qualité de vos pare-feu, les attaques basées sur Word ou par courriel défient simplement vos outils parce qu’il s’agit d’erreurs humaines. Cette attaque Word hole utilise un exploit dans Word qui permet de transmettre un paquet exécutable dans un document Word. Comme la plupart des employés ne comprennent pas ou ne sont pas au courant de ce danger, ils peuvent ouvrir un document Word pour voir de quoi il s’agit. Comme il a été livré dans leur dossier de pourriel Outlook, ils peuvent penser qu’il s’agissait d’un courriel interne qui a été égaré.
Explication de l’attaque
Le fichier Word joint au courriel semble en effet avoir un fichier Word et souvent même le nom du fichier se termine par « .doc » alors qu’il est en fait dans un format de texte enrichi (RTF). Un fichier RTF permet à un attaquant d’empaqueter plusieurs parties dans un seul fichier. Le seul composant qui révèle ces fichiers comme une attaque comprend un composant qui ressemble souvent à ce qui suit :
- 1lsFES%$#^lkajdw$#)^#… —Partie 5
Cette répartition montre 4 parties du fichier avec des signifiants de classe d’objets en tant que document Word, mais ce dernier fichier est en fait un BLOB, Binary Large Object. Ce fichier est ignoré par Word.
La cinquième partie du dossier comprend divers éléments qui aident à masquer l’attaque. L’une des premières choses qu’il fait est de charger une DLL ActiveX qui, à son tour, charge une autre DLL qui empêche le fichier d’être randomisé sur un disque dur, donnant à l’attaquant une adresse exacte de son code. La partie BLOB du fichier contient un fichier exécutable que l’attaquant veut exécuter, tandis qu’une troisième partie contient des données qui déclenchent l’exploit Word hole permettant à l’attaquant d’accéder non sans autorisation à la mémoire.
À partir de cet exploit, de nombreux pirates informatiques ont mis en place des programmes malveillants par le biais de l’exploit, notamment Toshliph et UWarrior. Toshliph n’est essentiellement qu’un téléchargeur de logiciels malveillants, ce qui permet aux pirates de télécharger continuellement d’autres logiciels malveillants sur votre système sans avoir à repasser par la voie des pourriels d’Outlook. Alors que UWarrior est une porte dérobée qui donne aux criminels, aux pirates informatiques et à toute autre personne qui le connaît un contrôle complet à distance de l’ordinateur.
Se tenir à jour
L’enjeu le plus important lorsque vous traitez les pourriels Outlook est de vous assurer que vous ne devenez pas la cible d’une de ces vulnérabilités. Les organisations criminelles se sont améliorées dans l’organisation d’attaques pour qu’elles coïncident très peu de temps après que ces vulnérabilités soient devenues disponibles. Seules les mises à jour de vos correctifs logiciels et les outils antivirus les plus récents protégeront votre entreprise.
