Dans ce monde en constante évolution et en constante évolution, une menace est devenue très courante et si difficile à détecter, c’est pourquoi rester protégé n’est qu’une question de garder une longueur d’avance sur les pirates.
Selon la société de cybersécurité Sophos, les attaquants ont pu utiliser un exploit Office de preuve de concept accessible au public et l’armer afin de fournir le malware Formbook.
Soi-disant, les attaquants ont réussi à créer un nouvel exploit capable de contourner la vulnérabilité critique d’exécution de code à distance dans Microsoft Office qui a été corrigée plus tôt cette année.
Les attaquants ont contourné un correctif Microsoft Office crucial avec un exploit
En septembre, Microsoft a publié un correctif pour empêcher les attaquants d’exécuter un code malveillant intégré dans un document Word qui télécharge une archive Microsoft Cabinet (CAB) contenant un exécutable malveillant.
En retravaillant l’exploit d’origine et en plaçant le document Word malveillant dans une archive RAR spécialement conçue, les attaquants ont créé une forme « sans CAB » de l’exploit capable d’échapper avec succès au correctif d’origine.
Étonnamment cependant, ce dernier exploit a été distribué à l’aide de courriers indésirables pendant environ 36 heures avant de disparaître complètement. Les chercheurs de Sophos pensent que la durée de vie limitée de l’exploit pourrait signifier qu’il s’agissait d’une expérience « à blanc » qui pourrait être utilisée dans de futures attaques.
« Les versions pré-patch de l’attaque impliquaient un code malveillant empaqueté dans un fichier Microsoft Cabinet. Lorsque le correctif de Microsoft a comblé cette faille, les attaquants ont découvert une preuve de concept qui montrait comment regrouper le malware dans un format de fichier compressé différent, une archive RAR. Les archives RAR ont déjà été utilisées pour distribuer du code malveillant, mais le processus utilisé ici était inhabituellement compliqué. Cela n’a probablement réussi que parce que le mandat du correctif était défini de manière très étroite et parce que le programme WinRAR dont les utilisateurs ont besoin pour ouvrir le RAR est très tolérant aux pannes et ne semble pas se soucier si l’archive est mal formée, par exemple, parce qu’elle a été falsifiée ” .
Contourner un patch critique
Au cours de leur enquête, les chercheurs de Sophos ont découvert que les attaquants responsables avaient créé une archive RAR anormale contenant un script PowerShell préfixant un document Word malveillant stocké dans l’archive.
Pour diffuser leur archive RAR mal formée et son contenu malveillant, les attaquants ont créé et distribué des courriers indésirables invitant les victimes à décompresser le fichier RAR afin d’accéder au document Microsoft Word. Cependant, l’ouverture d’un document a déclenché un processus qui conduit à l’infection de leurs appareils par des logiciels malveillants.
Alors, soyez très attentif lorsque vous traitez avec ce type de logiciel et si quelque chose semble même à distance suspect. Lorsque vous traitez avec Internet, rester en sécurité devrait être la priorité numéro un.