PGS

PG Software, distributeur historique des solutions ManageEngine en France, depuis 2004

Support

Support, en france, en français, pour vos projets en avant-vente (PoC) ou en après-vente, dans le cadre de la maintenance applicative (AMS)

Logo PG Software
lundi, 06 novembre 2017 17:50

Comment se protéger contre l'exploit "Microsoft Word DDE"

Évaluer cet élément
(0 Votes)

Comment bloquer l'exploit 'Microsoft Word DDE'

 

Au milieu de l'avalanche de cyber-menaces que l'année 2017 a déjà vu, une nouvelle attaque est apparue ciblant les applications les plus improbables. En ce début de mois, les chercheurs en sécurité de Sensepost ont découvert une vulnérabilité non corrigée dans Microsoft Word qui permet aux hackers de pratiquer l'exécution du code distant.

La vulnérabilité de Microsoft Word

Microsoft Word utilise un protocole appelé Dynamic Data Exchange (DDE) pour partager les données entre différentes applications. Les hackers semblent avoir identifié cette passerelle et ont commencé à l'exploiter. Ce protocole est utilisé par des milliers d'applications comme Microsoft Word, Excel, Quattro Pro, Visual Basic, etc. Microsoft n' a pas publié de mises à jour pour cette vulnérabilité, mais on s'attend à ce que Microsoft corrige ce problème lors de sa prochaine mise à jour.

Le ransomware 'Locky' exploite la faille DDE

Microsoft Word était déjà utilisé par les pirates informatiques pour déployer le ransomware 'Locky' sur les machines. Il a été rapporté que plus de six millions d'ordinateurs sont déjà infectés par Locky. Bien que Locky ait déjà utilisé des documents Microsoft Office basés sur des macros et piégés, il semble que les pirates informatiques l'aient mis à jour, ce qui leur permet d'exploiter ce protocole DDE et de prendre des captures d'écran des postes de travail des victimes.

Le malware Hancitor exploite DDE

A tout comme Locky, un autre logiciel malveillant appelé Hancitor utilise également cet exploit DDE. Avec l'exploit, Hancitor télécharge et installe des charges malveillantes, comme des logiciels de rançon, un cheval de Troie bancaire et des logiciels malveillants pour le vol de données, et il est déployé dans les courriels d'hameçonnage sous forme de document Microsoft Office avec des macros.

Les étapes pour rester en sécurité contre cet exploit Microsoft Word DDE

Puisque Microsoft n' a pas encore publié de correctifs pour cette exécution de code distant, vous pouvez éviter ces menaces en suivant les étapes suivantes:

  1. Ouvrez Microsoft Word
  2. Sélectionnez "Fichier".
  3. Aller à "Options".
  4. Sélectionnez "Options Avancées".
  5. Naviguer vers "Général".
  6. Désactivez l'option "Mise à jour des liaisons à l'ouverture".

Désactiver les maj des liaisons à l'ouverture

 

Si vous souhaitez le faire pour tous les ordinateurs de votre réseau, vous pouvez créer un script personnalisé et déployer cette configuration sur votre réseau à l'aide de Desktop Central.

En plus des étapes énumérées ci-dessus, vous pouvez éviter ces menaces en ne cliquant pas sur des liens inutiles ou en ouvrant des documents inconnus. De plus, vérifiez toujours la source des courriels et des documents avant de les ouvrir.

 

Lu 2045 fois

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.

Cache hits : 641 [96%]
Cache misses : 21 [3%]
Cache total : 662
Url added to cache : 685



Misses list
index.php?option=com_k2&Itemid=278&id=339&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&lang=fr&tag=Microsoft+Word+DDE&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&lang=fr&tag=DDE&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&lang=fr&tag=Word&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&id=555&lang=fr&view=item

index.php?option=com_k2&Itemid=278&id=555&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=554&lang=fr&view=item

index.php?option=com_k2&Itemid=278&id=554&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=553&lang=fr&view=item

index.php?option=com_k2&Itemid=278&id=553&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=552&lang=fr&view=item

index.php?option=com_k2&Itemid=278&id=552&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=551&lang=fr&view=item

index.php?option=com_k2&Itemid=278&id=551&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=436&lang=fr&view=item

index.php?option=com_mailto&lang=fr&link=b26d0f156b870e78d560395467e274c4a1b21b73&template=rt_hadron&tmpl=component

index.php?option=com_content&Itemid=2456&id=1477&lang=fr&view=article

index.php?option=com_blankcomponent&Itemid=1799&lang=fr&view=default

index.php?option=com_blankcomponent&Itemid=1797&lang=fr&view=default

index.php?option=com_blankcomponent&Itemid=2106&lang=fr&view=default

index.php?option=com_acymailing&Itemid=718&lang=fr&layout=modify&tmpl=component&view=user

In memory, waiting to be written : 9
Ram used : 41400