PGS

PG Software, distributeur historique des solutions ManageEngine en France, depuis 2004

Support

Support, en france, en français, pour vos projets en avant-vente (PoC) ou en après-vente, dans le cadre de la maintenance applicative (AMS)

Logo PG Software
mercredi, 20 décembre 2017 09:47

Empêcher l'exécution du code distant en désactivant l'éditeur d'équations de Microsoft dès maintenant

Évaluer cet élément
(0 Votes)

Faille de l'éditeur d'équation MS Office

Bien que beaucoup d'entre nous attendent avec impatience un congé bien mérité, les cyberattaques ne prennent pas de pause pendant la période des fêtes de fin d'année. Fin novembre, le groupe de cybercriminalité Cobalt a profité d'une vulnérabilité de 17 ans dans l'éditeur d'équation de Microsoft Office, l'exploit CVE-2017-11882.

Le groupe Cobalt, qui existe depuis 2016, cible principalement les organisations financières et utilise souvent l'hameçonnage (phishing) pour pirater les réseaux. Alors que les précédentes attaques de Cobalt ont exploité des ordinateurs en Europe et en Asie, elles semblent maintenant étendre leurs activités en ciblant les utilisateurs de Microsoft Office dans le monde entier.

Comment Cobalt exploite cette vulnérabilité

L'éditeur d'équations de Microsoft Office permet aux utilisateurs Office de créer et d'intégrer des équations mathématiques dans leurs documents. Il s'agit d'un outil relativement ancien qui est disponible depuis Office 2007. L'exploit CVE-2017-11882 permet aux pirates informatiques d'exécuter du code à distance en utilisant l'éditeur d'équation.

Peu de temps après que Microsoft ait publié un correctif pour cette vulnérabilité de l'éditeur d'équations, ReversingLabs a découvert que le groupe de hackers Cobalt distribuait un document RTF (Rich Text Format) qui exploitait cette vulnérabilité. Comme pour les autres attaques d'exécution de code à distance, une fois téléchargé sur l'ordinateur de la victime, le fichier contacte un serveur C&C distant pour télécharger une série de 3 payloads. Le dernier payload de l'attaque, appelée 'Cobalt strike backdoor', est disponible en formats 32 et 64 bits, ce qui signifie qu'elle peut briser le système de n'importe quelle victime, quelle que soit l'architecture de son système.

Deux façons simples de vous protéger contre cette menace

Microsoft suggère aux utilisateurs de désactiver l'éditeur d'équation pour rester vigilant contre cette faille potentielle, c'est votre première option. Mais désactiver l'éditeur d'équation a ses propres conséquences, c'est pourquoi Microsoft a fourni des instructions sur la réactivation de l'éditeur d'équation si vous trouvez que vous en avez besoin. Si vous n'avez que quelques systèmes que vous souhaitez protéger, alors suivre les instructions de Microsoft devrait suffire. Cependant, vous pouvez avoir besoin de suivre la deuxième option si vous avez plusieurs ordinateurs affectés: utiliser un outil comme Desktop Central pour résoudre rapidement cette vulnérabilité dans toute votre entreprise.

En réponse à la vulnérabilité de l'éditeur d'équations, Desktop Central a ajouté un nouveau script à son modèle de script, "DisableEquationEditorInOffice.bat". L'installation de ce script désactive l'éditeur d'équation sur tout votre réseau.

Microsoft a déjà abordé ce problème dans une mise à jour patch de novembre 2017, avec les mises à jour KB3162047, KB4011604, KB4011262, KB4011618 et KB4011262. Si vous avez déjà mis à jour vos systèmes avec ces derniers correctifs de Microsoft, vous devriez être en sécurité. Si vous n'avez pas encore installé ces correctifs, Desktop Central peut vous aider à résoudre cette vulnérabilité immédiatement en utilisant sa fonctionnalité de gestion des correctifs.

Vous pouvez installer des correctifs spécifiques à cette vulnérabilité en naviguant dans la section Gestion des correctifs >> Correctifs pris en charge >> ID du Bullletin. Après avoir recherché "MS17-NOV6", sélectionnez tous les bulletins pertinents et déployez-les sur vos systèmes concernés.

blog DTC Cobalt MSOffice Equation Editor screenshot

 

Si vous continuez à résoudre les vulnérabilités une par une, il est grand temps d'utiliser une solution de gestion des postes de travails pour résoudre les menaces à partir d'un point central. Si les prévisions des chercheurs en matière de sécurité sont justes (en anglais), les entreprises peuvent s'attendre à voir davantage de cyberattaques en 2018.

Giridhara Raam, Analyste Marketing chez ManageEngine

 

Lu 2087 fois

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.

Cache hits : 644 [96%]
Cache misses : 20 [3%]
Cache total : 664
Url added to cache : 1137



Misses list
index.php?option=com_k2&Itemid=278&id=345&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&lang=fr&tag=faille&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&lang=fr&tag=bug&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&lang=fr&tag=MS+Word&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&lang=fr&tag=Microsoft+Office&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&lang=fr&tag=Equation+Editor&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&lang=fr&tag=Editeur+d%27%C3%A9quation&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&id=584&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=583&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=579&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=575&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=574&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=344&lang=fr&view=item

index.php?option=com_mailto&lang=fr&link=588608f0e2e5b68f69b2858574937ef22f474c63&template=rt_hadron&tmpl=component

index.php?option=com_content&Itemid=2456&id=1477&lang=fr&view=article

index.php?option=com_blankcomponent&Itemid=1799&lang=fr&view=default

index.php?option=com_blankcomponent&Itemid=1797&lang=fr&view=default

index.php?option=com_blankcomponent&Itemid=2106&lang=fr&view=default

index.php?option=com_acymailing&Itemid=718&lang=fr&layout=modify&tmpl=component&view=user

index.php?option=com_acymailing&Itemid=718&lang=fr&layout=modify&view=user

In memory, waiting to be written : 7
Ram used : 82680