Vulnérabilité (?) DDE sur Word et mails malveillants

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87267
Inscription : 10 sept. 2005 13:57
Contact :

Vulnérabilité (?) DDE sur Word et mails malveillants

Message par Malekal_morte » 17 oct. 2017 10:16

On connait tous maintenant les macros sur Word qui sont utilisées depuis deux ans dans des campagnes de mails malveillants.
Le groupe à l'origine du Trojan Dridex et du ransomware Locky, s'en était fait une spécialité.
=> Trojan Dridex - Mail malveillants Macro Office.
=> Campagne de mails malveillants Locky

Plus globalement pour tout ce qui touche aux emails malveillants avec des documents Word et Excel, lire la page : Les virus par Word et Excel (documents Office) : comment s'en protéger

Les macro Office malveillantes

Le principe est de proposer une pièce jointe au format Word, au moment de l'ouverture sur Word, on vous demande d'activer la macro.
Si la victime le fait, la macro télécharge et exécute la charge virale sur l'ordinateur.
Une variante propose un PDF qui embarque un document Word, lorsque la victime ouvre le PDF, un message propose ensuite d'ouvrir le document Word pour enfin demander d'exécuter la Macro.
Cela permet de cacher les documents Word au sein de PDF pour contourner les détections antivirus.



Les documents Word malveillantes à base de DDE

Une variante qui risque d'être de plus en plus utilisée en alternative aux macro Word et la vulnérabilité DDE.
Le protocole Dynamic Data Exchange (DDE) permet la communication entre applications et l'échange de données dans la mémoire partagée.
L'éditeur Sensepost a montré récemment le danger des objets DDE dans Word : Macro-less Code Exec in MSWord.

Il est tout à fait possible d'insérer un champs DDE dans un document Word qui permet l'exécution de fichiers, par exemple ici la calculatrice Windows.
DDE-Word-vulnerabilite.png
Vulnérabilité (?) DDE sur Word et mails malveillants
A l'ouverture, cette objet DDE est exécuté.
Une interaction avec l'utilisateur comme avec les macros Word peut avoir lieu à travers des popups d'avertissements.
DDE-Word-vulnerabilite-2.png
Vulnérabilité (?) DDE sur Word et mails malveillants
DDE-Word-vulnerabilite-3.png
Vulnérabilité (?) DDE sur Word et mails malveillants
Un autre groupe poussant le malware Hancitor (AKA Chanitor) utilisant aussi des mails malveillants Word par le passé utilise déjà cette technique.
Mail-mailveillant-piece-jointe-Word.jpg
Vulnérabilité (?) DDE sur Word et mails malveillants
(source : https://twitter.com/mesa_matt/status/919949549023711232)

Comme pour les macro, un bandeau jaune pour activer le DDE s'affiche

puis deux popups d'acceptation successives apparaissent.
Notez le cmd.exe, si vous voyez cmd.exe - ne jamais acceptez l'exécution.
Mail-mailveillant-piece-jointe-Word-3.jpg
Vulnérabilité (?) DDE sur Word et mails malveillants
Mail-mailveillant-piece-jointe-Word-2.jpg
Vulnérabilité (?) DDE sur Word et mails malveillants
Il est fort à parier que les prochaines campagnes de Locky utilise cette vulnérabilité DDE.

Les attaques Word DDE en vidéo :


Il semblerait que pour Outlook, le Word est exécuté automatiquement surement par une prévisualisation :
Outlook-attaque-word-DDE.png
Vulnérabilité (?) DDE sur Word et mails malveillants
https://twitter.com/HelpDeskMan/status/ ... 9401605122

Comment désactiver les objets DDE sur Word

Il est possible de désactiver les objets DDE sur Word, ainsi vous êtes protégés contre ces procédés.
Lorsque vous allez ouvrir un document piégé avec des objets DDE, ces derniers ne s'exécuteront pas.

Utilisez l'éditeur du registre Windows regedit, pour cela :
  • Touche Windows + R
  • Dans la fenêtre exécuter, saisissez regedit puis OK.
  • Déroulez HKEY_CURRENT_USERS\Software\Microsoft\Office\16.0\Word\options (vous pouvez avoir 15.0 si vous êtes en Office 2013)
  • A droite, faites un clic droit Nouveau puis valeur DWord-32
  • Nommez la DontUpdateLinks
  • Double-cliquez sur DontUpdateLinks et donnez lui la valeur 1.
Word-Desactiver-DDE.png
Vulnérabilité (?) DDE sur Word et mails malveillants
Si vous utilisez Outlook, vous pouvez désactiver DDE aussi en créant la valeur DontUpdateLinks dans HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\options\WordMail

Plus globalement pour tout ce qui touche aux emails malveillants avec des documents Word et Excel, lire la page : Les virus par Word et Excel (documents Office) : comment s'en protéger
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87267
Inscription : 10 sept. 2005 13:57
Contact :

Re: Vulnérabilité (?) DDE sur Word et mails malveillants

Message par Malekal_morte » 19 oct. 2017 15:15

J'ai bien fait de la faire la news hier, ça arrive aujourd'hui en message.
Du coup, j'ai ajouté une vidéo =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Informaticien
Informaticien
Messages : 363
Inscription : 02 juin 2012 20:48

Re: Vulnérabilité (?) DDE sur Word et mails malveillants

Message par Parisien_entraide » 23 oct. 2017 19:04

Sinon pour compléter la manip via l'éditeur de registre pour les frileux il existe un .reg qui va se charger de faire le travail

Concerne : Word 2016, Word 2013, Word 2010, Excel 2016, Excel 2013, Excel 2010


Le détail du .reg est visible ici :

https://gist.github.com/wdormann/732bb8 ... 1498f31a1b


Téléchargement (sauver le fichier, puis cliquer pour executer)

https://gist.github.com/wdormann/732bb8 ... deauto-reg

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87267
Inscription : 10 sept. 2005 13:57
Contact :

Re: Vulnérabilité (?) DDE sur Word et mails malveillants

Message par Malekal_morte » 03 nov. 2017 13:33

Un article a été ajouté sur le site qui récapitule ces infections par Office : Les virus par Word et Excel (documents Office) : comment s'en protéger
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 4 invités