Sécurité : Une vulnérabilité Zero-Day dans les différentes versions Microsoft Office expose les utilisateurs de la suite bureautique. Un correctif est attendu cette semaine.

Selon des chercheurs en sécurité, une faille inconnue d’Office est actuellement exploitée par des pirates afin d’installer différents types de programmes malveillants auprès des utilisateurs du logiciel Word.



Et contrairement à d’autres vulnérabilités d’Office, cette 0-day ne repose pas sur les macros. Elle nécessite cependant toujours l’ouverture d’un document Word piégé. Et l’ouverture va ici permettre le téléchargement d’une application HTML malveillante depuis un serveur.



publicité

Le fichier est déguisé pour ressembler à un fichier Rich Text. L'application HTML entre-temps télécharge et exécute un script malveillant qui peut être utilisé pour installer furtivement des malware.



Les chercheurs de McAfee, qui ont d'abord signalé la découverte vendredi, ont déclaré que puisque l'application HTML est exécutable, l'attaquant peut exécuter du code sur l'ordinateur concerné tout en évitant les protections basées sur la mémoire conçues justement pour prévenir ce type d'attaques.



Pour McAffe, comme pour FireEye, la source de la vulnérabilité se situe au niveau de la fonction Windows Object Linking and Embedding (OLE). Au cours des dernières années, de multiples failles ont été identifiées dans Windows OLE.



Les chercheurs précisent que le bug peut être exploité sur toutes les versions d'Office, y compris le dernier Office 2016 exécuté sous Windows 10, et des attaques ont été détectées sur le Web depuis janvier.



Un porte-parole de Microsoft a confirmé que la société publierait un correctif pour le bug mardi dans le cadre de sa publication mensuelle de correctifs de sécurité, le Patch Tuesday.