ACTUALITES

Une vulnérabilité non corrigée dans Word a déjà de quoi rendre nerveux les responsables de la sécurité informatique. Mais lorsqu'elle est exploitée en conjonction avec un peu de fourberie, un brin de paranoïa et, surtout, beaucoup de discrétion, le cocktail devient alors franchement détonnant. Et ce cocktail, c'est précisément ce qu'ont subi dernièrement une poignée d'entreprises aux États-Unis. Il s'agit d'opérations furtives, personnalisées et menées à petite échelle afin de ne pas attirer l'attention.

Tout commence par des courriers envoyés à quelques membres du personnel de l'entreprise. Première astuce des attaquants : le nom de domaine d'où provient l'e-mail est proche de celui de l'entreprise afin de ressembler à un courrier interne. Ces domaines ont donc été déposés spécifiquement pour chaque entreprise ciblée, avant l'attaque. Les e-mails contiennent un document Word piégé, conçu pour exploiter une vulnérabilité jusqu'à présent inconnue - et donc non corrigée - du célèbre traitement de texte. Bien entendu, ces e-mails sont présentés de telle façon que l'utilisateur pense avoir à faire à un quelconque document de travail (avec par exemple des sujets tels que "Notice" ou "RE: Plan for final agreement").

Un code malicieux propre sur lui

Une fois le document ouvert, le piège, lui, se referme : un code malicieux s'exécute grâce à un dépassement de pile dans Word. Il dépose tout d'abord un bot sur la machine, puis crée octet par octet un nouveau cheval de Troie sur le disque dur, qu'il exécute ensuite. C'est ce programme qui fera le sale boulot. Mais auparavant, le code malicieux contenu dans le document Word réalise une dernière tâche : il s'efface lui-même du fichier ! Bien entendu, l'exploitation de la vulnérabilité fait crasher Word. Le traitement de texte affiche alors une erreur, indique que le fichier est peut-être corrompu (ce qui était le cas à l'origine) et propose d'essayer de l'ouvrir à nouveau. Cette fois-ci, puisque le code malicieux a recréé une version propre du document Word, le fichier s'ouvre sans difficulté.

Le bot déposé initialement sur le PC se charge alors de collecter un maximum d'informations sur son environnement (niveau de correctifs, type d'antivirus installé, contenu du dossier "Mes Documents", liste des programmes qui démarrent automatiquement, configuration d'Internet Explorer...). Le SANS Institute, qui a procédé à l'analyse de l'une de ces attaques, ne donne cependant aucune indication quant à l'utilisation qui est faite de ces informations par la suite. Le cheval de Troie, en revanche, a été analysé en profondeur : il utilise des techniques de rootkits afin de dissimuler ses composants sur le système et communique avec un serveur hébergé en Chine. Ces communications se font via une connexion HTTP afin de passer outre les pare-feu éventuels de l'entreprise. Enfin, une fois installé, le parasite offre le contrôle total du PC au pirate (exploration du disque, captures d'écran, exécution de programmes, accès à la ligne de commande, etc.). Aux premières heures de l'attaque, lorsque le SANS a été alerté par une entreprise victime de ce cheval de Troie, aucun antivirus parmi ceux utilisés par Virus Total n'était capable de le détecter.

Toutefois, les éditeurs d'antivirus ont désormais fait leur travail : McAfee, Symantec, F-Secure et Trend Micro ont, par exemple, ajouté à leur base de signatures l'exploit Word ou l'un ou l'autre des codes malicieux. De son côté, Microsoft a fait de même pour son service "Windows Live Safety Center". Pour ce qui est du correctif officiel, en revanche, il faudra patienter : l'éditeur affirme qu'il s'agit d'une attaque "de très petite envergure" et que cela peut donc attendre le 13 juin prochain, date de la prochaine livraison des correctifs. D'ici là, mettez donc vos antivirus à jour et méfiez-vous des documents Word non sollicités. Pour le reste, puisqu'on nous dit que c'est une attaque de très petite envergure...

Plus d'informations :

La description technique du cheval de Troie (en anglais).

La discussion de l'attaque sur le blog de Microsoft (en anglais).