Comment les pirates exploitent les documents Microsoft Word pour pirater Windows

image en vedette pour le bogue Office MSHTML

Un bogue récemment découvert dans le moteur de navigation propriétaire MSHTML de Microsoft permet aux pirates d’exécuter du code à distance dans toutes les versions de Windows. Les attaquants utilisent des documents Word spécialement conçus pour exploiter ce bogue du jour zéro. Malheureusement, MSHTML est également utilisé par plusieurs produits Microsoft, notamment Skype, Visual Studio et Microsoft Outlook. Le problème est donc assez répandu.

En tant que tel, explorons comment fonctionne l’exploit et comment vous en protéger.

Comment fonctionne l’exploit Microsoft Word Zero-Day ?

L’attaque commence lorsque les utilisateurs sont amenés à ouvrir un document Word militarisé. Ce document contiendra un contrôle ActiveX spécialement conçu pour être géré par le moteur MSHTML. Une fois chargé avec succès, les pirates peuvent utiliser ce contrôle ActiveX pour exécuter du code à distance sur l’appareil compromis.

logo microsoft word

Microsoft suit ce bogue en tant que CVE-2021-40444 et lui a attribué un score CVSS de 8,8. Cela fait du bogue MSHTML un problème à fort impact avec le potentiel de causer des dommages considérables.

Comment atténuer l’attaque MSHTML

Les utilisateurs peuvent empêcher l’attaque MSHTML en n’ouvrant pas les documents Word non fiables. Même si vous cliquez accidentellement sur de tels documents, l’exécution d’Office avec les configurations par défaut vous protégera probablement de cette dernière attaque zero-day liée à Microsoft.

Par défaut, Office ouvre les documents téléchargés depuis Internet en mode protégé ou Application Guard pour Office. Cette fonctionnalité empêche les fichiers non fiables d’accéder aux ressources système cruciales, vous serez donc probablement en sécurité.

Cependant, les utilisateurs qui opèrent avec des privilèges d’administrateur sont exposés à un risque élevé d’attaque MSHTML. Étant donné qu’aucun correctif de travail n’est disponible actuellement, nous vous recommandons d’ouvrir les documents Office uniquement en tant qu’utilisateur standard, où la vue protégée peut vous sauver. Microsoft a également déclaré que la désactivation du contrôle ActiveX peut empêcher cette attaque.

Connexes : Microsoft active la protection des applications d’Office 365 pour protéger les travailleurs à domicile

Comment désactiver le contrôle ActiveX

Pour désactiver le contrôle ActiveX, ouvrez un éditeur de texte et créez un fichier nommé désactiver-activex.reg. Vous pouvez appeler ce fichier n’importe quoi tant que le .reg la rallonge est là. Maintenant, collez ce qui suit dans le fichier et enregistrez-le.

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1001"=dword:00000003"1004"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]"1001"=dword:00000003"1004"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]"1001"=dword:00000003"1004"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]"1001"=dword:00000003"1004"=dword:00000003

Double-cliquez sur le fichier et cliquez sur Oui lorsque vous y êtes invité par Windows. Redémarrez votre PC une fois que cela est fait, et Windows appliquera les nouvelles configurations.

Méfiez-vous des documents Word non fiables

Microsoft n’a pas encore publié de correctifs officiels pour l’exploit MSHTML. Donc, ne pas cliquer sur les documents téléchargés sur Internet est votre meilleur pari si vous voulez rester en sécurité. Heureusement, Defender peut détecter et empêcher cette attaque de compromettre votre système. Assurez-vous donc d’activer Microsoft Defender et d’activer la protection en temps réel.

Leave a Comment

Your email address will not be published. Required fields are marked *