Exécution de code malveillant dans Office sans macro (DDE)

Contexte et résolution

Depuis 15 ans, une fonctionnalité présente dans la suite Office (DDE Auto https://msdn.microsoft.com/en-us/library/ff531181(v=office.12).aspx) permet l’exécution de scripts directement dans un document et ce, sans aucune macro. Un message d’avertissement est certes affiché mais il est possible de le personnaliser afin de le rendre plus plausible. Par conséquent, l’utilisateur va très certainement valider le message et lancer à son insu le script malveillant.

Cette fonctionnalité est exploitable aussi bien dans Microsoft Word et Microsoft Excel mais également dans Microsoft Outlook. La détourner pour exécuter un script malveillant est donc relativement simple et tout porte à croire que de nombreuses attaques auront lieu très prochainement en utilisant ce vecteur.

Lors de nos différents tests il est apparu que l’ouverture d’un fichier Excel depuis l’explorateur n’était plus possible en désactivant complètement la fonctionnalité. Nous avons trouvé un réglage intermédiaire. Il convient cependant de rester prudent lorsque vous ouvrez des pièces jointes.

Nos recommandations

Sensibiliser les utilisateurs à la prudence. Dans ce cas l’attaque est arrêté si l’utilisateur clique sur non lorsque le document est ouvert.

Pour cette raison, Kyos recommande donc la désactivation de cette fonctionnalité. Cela est possible techniquement en appliquant une GPO dans l’Active Directory ou à ajouter des clés de registres sur les postes de travail, disponibles à cette adresse : https://technet.microsoft.com/en-us/library/security/4053440

Qu’est-ce que Kyos propose pour ses clients « Kyos Assist » et « Kyos Serenity » ?

Nos clients sous Kyos « Assist » ou « Serenity » seront automatiquement protégés de cette attaque dans les prochains jours.

Plus d’information

Vous pouvez suivre l’actualité sur les réseaux sociaux avec le hashtag : #DDEAUTO

Si vous souhaitez plus d’informations techniques nous vous recommandons la lecture de l’article suivant : https://www.securitysift.com/abusing-microsoft-office-dde/