IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Une faille de sécurité exploitant la fonction d’intégration de vidéo en ligne sur Microsoft Word


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Mars 2017
    Messages
    1 179
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Madagascar

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2017
    Messages : 1 179
    Points : 78 791
    Points
    78 791
    Par défaut Une faille de sécurité exploitant la fonction d’intégration de vidéo en ligne sur Microsoft Word
    Une faille de sécurité exploitant la fonction d’intégration de vidéo en ligne sur Microsoft Word
    Permet d’exécuter aisément un code malveillant

    Cymulate, un fournisseur de solutions de simulation de brèches et d’attaques, a récemment annoncé avoir découvert une faille de sécurité dans le logiciel Word de la suite Microsoft Office qui pourrait affecter tous les utilisateurs d’Office 2016 et versions antérieures.

    Nom : 0.jpg
Affichages : 9363
Taille : 25,4 Ko

    L’équipe de recherche de Cymulate a découvert un moyen d’abuser de la fonction Vidéo en ligne sur Microsoft Word pour exécuter un code malveillant. Cette technique permet d’infecter un ordinateur via des documents Word sans déclencher un avertissement de sécurité révélateur en exploitant une fonctionnalité qui, à la base, permet d’intégrer directement des vidéos dans des fichiers Word.

    Cette attaque réalisée en quelques étapes simples permet de modifier manuellement et aisément la référence du chemin d’une vidéo distante à l’intérieur d’un fichier DOCX pour qu’elle pointe vers un code malveillant.

    Il suffit pour cela de créer un document Word, puis d’y incorporer une vidéo grâce à la fonctionnalité « Vidéo en ligne » présente dans l’onglet « Insérer ». Après avoir sauvegardé ce document Word avec sa vidéo en ligne intégrée sous le format .docx, il faut ensuite le décompressé et éditer le fichier XML nommé document.xml qu’il contient dans le répertoire word.

    Nom : 2.jpg
Affichages : 4962
Taille : 45,6 Ko

    En effet, les fichiers portant l’extension .docx ne sont en fait qu’un paquet ou une archive regroupant différents fichiers. Si vous décompressez un fichier .docx en modifiant, par exemple, l’extension .docx en .zip puis en décompressant l’archive résultante, vous remarquerez qu’il y a plusieurs fichiers et répertoires à l’intérieur.

    Nom : 1.jpg
Affichages : 4484
Taille : 8,9 Ko

    Il vous faudra alors remplacer le lien vidéo par un « crafted payload » qui lance le gestionnaire de téléchargements du navigateur Internet Explorer avec le fichier d’exécution de code intégré. Pour cela, cherchez simplement dans le fichier .xml le paramètre embeddedHtml (sous WebVideoPr) qui contient le code iframe YouTube et remplacez le code iframe original par n’importe quel code html/JavaScript qui sera exécuté par Internet Explorer.

    Nom : 3.jpg
Affichages : 4426
Taille : 53,2 Ko

    Sauvegardez en fin les modifications dans le fichier document.xml, mettez à jour le paquet .docx avec le XML modifié et ouvrez le document. Une fois exécuté, ce code utilisera la méthode « msSaveOrOrOpenBlob » pour déclencher le téléchargement de l’exécutable en ouvrant le gestionnaire de téléchargements d’Internet Explorer avec l’option pour exécuter ou enregistrer le fichier cible, mais ne déclenche pas l’affichage d’un message de sécurité indiquant que cela pourrait être dangereux, comme le fait habituellement Word quand il ouvre une macro.

    Les attaquants pourraient utiliser cette technique à des fins malveillantes telles que l’hameçonnage, car le document montrera la vidéo en ligne intégrée avec un lien vers YouTube, tout en dissimulant un code html/JavaScript caché qui sera exécuté en arrière-plan et pourrait potentiellement mener à d’autres scénarios d’exécution du code.

    L’équipe de recherche en sécurité de Cymulate a identifié le bogue et a averti Microsoft. La firme de Redmond a, par la suite, confirmé qu’il s’agissait d’une faille de sécurité dans l’exécution du code JavaScript dans le composant vidéo intégré d’Office.


    Source : Cymulate

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi

    Microsoft annonce la disponibilité d'Office 2019 pour Mac et Windows avec des fonctionnalités dérivées d'Office 365 ProPlus
    Office 2019 ne sera disponible que sur Windows 10, Microsoft réduit également le support étendu de cette version à deux ans
    Les contrôles Flash, Shockwave et Silverlight seront bloqués dans les applications Office 365, par mesure de sécurité
    Microsoft termine son année fiscale 2018 avec un chiffre d'affaires annuel supérieur à 100 milliards de dollars avec un 4T18 meilleur que prévu

  2. #2
    Membre éclairé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mars 2011
    Messages
    185
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Gard (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Mars 2011
    Messages : 185
    Points : 723
    Points
    723
    Par défaut
    Qu’en pensez-vous ?
    Nous avons pas la même utilisation de Word. Je m'en sert pour créer des page statique dans le but de l'imprimer, ou de le transformer en PDF.

    Donc je ne comprend pas le principes des vidéos, animations flash et autre élément visuel dynamique dans un tel document.

    Si quelqu'un a une utilité professionnel ou personnel de ces fonctions (autre que de tester la faille), qu'il m'éclaire...

  3. #3
    Membre éclairé Avatar de MagnusMoi
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Février 2013
    Messages
    137
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Février 2013
    Messages : 137
    Points : 894
    Points
    894
    Par défaut
    Citation Envoyé par e101mk2 Voir le message
    Nous avons pas la même utilisation de Word. Je m'en sert pour créer des page statique dans le but de l'imprimer, ou de le transformer en PDF.

    Donc je ne comprend pas le principes des vidéos, animations flash et autre élément visuel dynamique dans un tel document.

    Si quelqu'un a une utilité professionnel ou personnel de ces fonctions (autre que de tester la faille), qu'il m'éclaire...
    J'en ai pas l'utilité moi non plus, mais certains l'utilisent pour leur blog (l'exporter en HTML)

  4. #4
    Membre actif Avatar de greg91
    Homme Profil pro
    Administrateur système
    Inscrit en
    Novembre 2007
    Messages
    121
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur système

    Informations forums :
    Inscription : Novembre 2007
    Messages : 121
    Points : 207
    Points
    207
    Par défaut
    J'en ai pas l'utilité moi non plus, mais certains l'utilisent pour leur blog (l'exporter en HTML)
    Ho mon dieu !

Discussions similaires

  1. Réponses: 90
    Dernier message: 09/10/2010, 14h54
  2. Réponses: 0
    Dernier message: 26/08/2009, 09h26
  3. Réponses: 15
    Dernier message: 17/07/2009, 23h18
  4. Réponses: 0
    Dernier message: 15/07/2009, 12h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo