Vulnérabilité d'exécution de code via des vidéos intégrées sur MS Word
Les experts en sécurité ont découvert un nouveau bogue dans Microsoft Word qui permet aux pirates d'injecter un code malveillant dans un document Word. Le bogue a été découvert par des chercheurs de Cymuler et cela affecte les anciennes versions de Microsoft Word, y compris Word 2016.
Le bogue exploite l'option Vidéo en ligne dans les documents Word qui permet aux utilisateurs d'incorporer des vidéos en ligne dans Word. Malheureusement, Microsoft a refusé de reconnaître le bogue comme une vulnérabilité, c'est pourquoi les chercheurs ont décidé de rendre publiques leurs découvertes. La vulnérabilité peut être exploitée en ajoutant d'abord une vidéo en ligne au document Word, puis en décompressant le document et en remplaçant le code intégré par un malware.
Cymuler les chercheurs ont même testé l'exploit en interne et ils ont pu intégrer une vidéo sur un document Word, qui exécutait alors un code malveillant lorsqu'on cliquait dessus.
Étant donné que Microsoft a refusé de reconnaître cela comme une vulnérabilité, nous ne nous attendons pas à ce que l'entreprise déploie une mise à jour pour corriger le bogue. Cela laisse beaucoup d'utilisateurs exposés à l'attaque et la meilleure solution de contournement à ce problème consiste à bloquer les documents Word avec des vidéos intégrées. Bien que ce soit une bonne solution de contournement, il va sans dire qu'il ne faut pas ouvrir les fichiers d'expéditeurs inconnus, en particulier ceux téléchargés à partir de services de partage de fichiers qui n'exécutent pas les analyses antivirus appropriées.
Mots clés Microsoft
