Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



Une faille 0day découverte dans Word et combinée avec un rootkit

Par Rédaction, secuobs.com
Le 31/05/2006


Résumé : Un nouveau malware exploitant une faille non corrigée dans le traitement de texte Microsoft Word a fait son apparition. Il utilise également des fonctionnalités de type rootkit.



Un nouveau malware exploitant une faille non corrigée dans le traitement de texte Microsoft Word a fait son apparition. Il utilise également des fonctionnalités de type rootkit.

Les virus de type Macro, visant les applications bureautiques courantes comme Word, Excel ou encore Powerpoint, ont été la coqueluche des auteurs de codes malicieux il y a quelques années.

Bien que détroné notamment par les exploits visant les navigateurs internet, des malwares visant ces applications sont toujours en circulation.

Le virus dénommé Ginwui.A par les finlandais de F-Secure exploite une vulnérabilité dans Microsoft Word (versions XP et 2003). Précisons qu'il ne s'agit pas d'un virus basé sur une macro.

Une fois la faille exploitée, il exécute un shellcode qui va télécharger puis installer un cheval de troie doté de fonctionnalités de type rootkit lui permettant une certaine furtivité lui évitant elle même d'être détecté par un logiciel antivirus par exemple.

Les attaquants peuvent ensuite contrôler le système infecté. Le cheval de troie est hébergé sur un système vers lequel pointe une adresse de type xxx.3322.org.

Le service 3322.org est un service de re-direction DNS principalement utilisé en Chine. Le blocage de ce domaine peut donc être une solution temporaire pour éviter une infection par ce malware bien que de nombreux sites légitimes utilisent également ce système (toujours en Chine).

Ce malware se réplique par l'intermédiaire de messages électroniques contenant un fichier attaché au format « .doc ». Il est souvent plus sûr d'interdire l'ouverture de tels fichiers, notamment dans un environnement sensible.

Il est également possible d'utiliser des applications alternatives, comme OpenOffice ou encore Abiword.

Une autre solution pour éviter la survenue de ce type de problèmes est la création d'une SRP (Security Restriction Policy) dans Windows, pour l'application Word comme le propose Matthew Murphy sur son blog.

En effet, ce malware a besoin des droits administrateurs pour s'installer, et il est possible d'obliger Word à fonctionner avec les privilèges d'un utilisateur normal, même si la personne qui l'utilise est connectée en temps qu'administrateur.

Il semblerait que cette combinaison Rootkit-0day ait servi lors d'attaques ciblées visant plusieurs entreprises américaines dont les employés ont été abusés par des mails “spoofés” reprenant les adresses d'employés des sociétés concernées.

Il est donc recommandé d'être particulièrement attentif lors de l'ouverture de pièces jointes au format word, qui devra de préférence être faite en premier lieu avec un programme alternatif. Microsoft travaille à la mise au point d'un correctif pour ce problème.

Lien vers le script de Matthew Murphy: lien