RTFScan intégré au sein d'OfficeMalScanner suite à la recrudescence des attaques via RTF

Par Rédaction, secuobs.com
Le 15/09/2012

---

Résumé : Suite à la vulnérabilité CVE-2012-0158 et à la recrudescence des attaques utilisant les fichiers RTF comme vecteur de propagation, la nouvelle version de la suite OfficeMalScanner intègre dès maintenant l'outil RTFScan qui facilite la détection et l'extraction des codes malicieux relatifs. - Lire l'article



Les documents Microsoft Office d'extension « .doc », « .xls » et variantes, au même titre que les « .pdf », ont été au coeur de nombreuses attaques ciblées ces dernières années. La détection des méthodes utilisées n'ayant néanmoins cessé de progresser lors de cette même période, ce sont vers les fichier RTF (Rich Text Format) que les attaquants semblent notamment s'être tournés depuis.

Un chercheur rapportait d'ailleurs récemment avoir pu identifier 90 fichiers de type RTF présentant un caractère malicieux. L'ensemble distinct ayant été collecté sur une période de seulement 3 mois. La plupart comportait par ailleurs des noms à consonance chinoise dont les caractéristiques démontraient qu'ils avaient été forgés pour des attaques ciblées sur des industries spécifiques.

Des plus, ces fichiers tentaient tous d'exploiter la vulnérabilité CVE-2012-0158 liée aux contrôles Active X et présente au sein du fichier MSCOMCTL.OCX. Ce dernier autorisant l'inclusion d'objets au sein de documents Office, l'exploitation réussie de cette vulnérabilité permet alors de bénéficier d'une exécution distante de code arbitraire et ce quelque soit le vecteur de diffusion privilégié.

RTF est encore bien souvent considéré à tort comme un format sûr, de façon analogue au PDF à une époque maintenant bien révolue. Par ailleurs, certains des fichiers collectés semblent aussi présenter une certaine complexité quant à leur analyse. Et notamment lorsqu'ils incluent par exemple des fichiers PE (Portable Executable) dont la détection et l'extraction semble être tout un challenge.

Conscient de cette tendance, le développeur de la suite OfficeMalScanner vient d'ailleurs de publier une nouvelle version incluant RTFScan. Cet outil permettant de faciliter à la fois la détection et l'extraction des codes malicieux inclus au sein des fichiers RTF utilisés lors de ces attaques. RTFScan étant d'ailleurs apte à les détecter même si des techniques d'obfuscation ont été utilisées.

Télécharger OfficeMalScanner.zip ( lien )
Page officielle d'OfficeMalScanner ( lien )
Page officielle de RTFScan ( lien )
« 90 CVE-2012-0158 documents for testing and research » ( lien )
« Analyzing Malicious RTF Files Using OfficeMalScanner's RTFScan » ( lien )
Microsoft Security Bulletin MS12-027 – Critical ( lien )

Source :

« Tool Scans for RTF Files Spreading Malware in Targeted Attacks » ( lien )