Une vieille fonctionnalité d’Office mise à profit par des acteurs malveillants

« Ce document contient des champs faisant référence à d’autres fichiers ». Ce message d’information, qui propose de mettre à jour les informations concernées, est la manifestation pratique du recours au Dynamic Data Exchange (DDE), une fonctionnalité des outils Microsoft permettant d’intégrer à un document des données provenant d’un autre. Mais voilà, elle peut être détournée pour conduire des attaques en forçant l’exécution de commandes.

SensePost s’en est aperçu plus tôt cette année et a prévenu Microsoft au mois d’août. Mais pour l’éditeur, il n’y avait pas là raison d’envisager un bug nécessitant un correctif ; la fonctionnalité est encore supportée à des fins de rétro-compatibilité. Qu’à cela ne tienne, SensePost s’est lancé dans la démonstration de l’attaque. Lorsque DDE est utilisé pour lancer des commandes, un second message d’alerte apparaît dans Word. Et pour peu que l’utilisateur clique un peu trop vite sur « Oui », le mal est vite fait.

Manque de chance, les cyber-délinquants n’ont pas manqué non plus de s’intéresser à la chose. Le botnet Necurs est ainsi actuellement utilisé pour pousser le rançongiciel Locky en utilisant DDE et des documents Word taillés sur mesure. 

Windows Defender and ClamAV detect DDE misuse (even calc.exe). Some commercial AVs do not. Upside down world complete.

— Beaumont Porg, Esq. (@GossiTheDog) October 22, 2017

Pendant quelques jours, ces documents passaient complètement inaperçus des logiciels de protection du poste de travail, puis ClamAV et Windows Defender se sont mis, les premiers apparemment, à détecter ce vecteur d’attaque. Mais ils continuent d’apparaître bien isolés à l’heure où son écrites ces lignes.

Mais d’autres vecteurs de détournement de DDE a été découvert : les invitations à des réunions… voire même de simples courriels, sans pièce jointe, à condition qu’ils soient gérés en format Rich Text. Configurer Outlook pour qu’il affiche tous les messages en texte brut permet de protéger, comme le souligne Sophos.

Mais des règles Yara de protection ont également été développées et sont disponibles sur GitHub, de même qu’une série de paramètres pour le registre visant à désactiver la commande détournée.