Microsoft Word : un exploit PoC est disponible pour cette faille de sécurité !

Le week-end dernier, un exploit Proof-of-Concept a été mis en ligne pour la vulnérabilité CVE-2023-21716 qui affecte Microsoft Word. En exploitant cette faille de sécurité, un attaquant peut effectuer une exécution de code à distance.

L'année dernière, le chercheur en sécurité Joshua Drake a découvert cette faille dans la bibliothèque wwlib.dll. Depuis, elle a bénéficié de la référence CVE-2023-21716. Depuis, Microsoft a corrigé cette faille de sécurité à l'occasion de la sortie du Patch Tuesday de Février 2023. Plusieurs produits de chez Microsoft, à savoir Office et SharePoint sont affectés. En ce qui concerne Word au sein de la suite Microsoft Office, les versions affectées sont les suivantes :

  • Microsoft 365 Apps for Enterprise
  • Microsoft Office LTSC 2021
  • Microsoft Office 2019
  • Microsoft Office 2019 for Mac
  • Microsoft Word 2016
  • Microsoft Word 2013

Cette vulnérabilité est relativement simple à exploiter, qui plus est à distance et sans interaction de l'utilisateur. De ce fait, elle hérite d'un score CVSS de 9.8 sur 10 ! À ce sujet, Microsoft précise : "Un attaquant non authentifié pourrait envoyer un e-mail malveillant contenant une charge utile RTF lui permettant d’exécuter des commandes dans l’application qui sert à ouvrir le fichier malveillant.", en faisant référence au format de fichier RTF, et tout en sachant que cela s'applique si l'on prévisualise le contenu d'un fichier RTF malveillant. 

Si l'attaque réussie, le pirate peut exécuter une commande avec le même niveau de privilèges que l'utilisateur qui a ouvert ou prévisualisé le document RTF. D'ailleurs, avec son PoC, Joshua Drake montre l'exploitation de la faille de sécurité où elle est utilisée pour ouvrir la calculatrice, mais il pourrait s'agir de toute autre commande. Un PoC qui ne nécessite que quelques caractères, comme vous pouvez le voir sur ce tweet du chercheur.

Avec ces informations, les attaquants peuvent tenter de mener des attaques à grande échelle, même si pour l'instant, rien n'indique qu'elle soit exploitée dans le cadre d'attaques. Tandis que l'évaluation d'exploitabilité du site de Microsoft précise qu'il est peu probable que les pirates l'exploitent. A suivre...

Comment se protéger de la faille de sécurité CVE-2023-21716 ?

Bien entendu, la solution la plus évidente pour se protéger contre la faille de sécurité CVE-2023-21716, c'est d'installer les dernières mises à jour pour le pack Microsoft Office.

Sinon, pour se protéger contre cette vulnérabilité, Microsoft propose de bloquer la prise en charge des documents au format RTF au sein de Microsoft Word : "Utilisez la politique de blocage des fichiers Microsoft Office pour empêcher Office d'ouvrir des documents RTF provenant de sources inconnues ou non fiables."

Pour cela, la firme de Redmond propose plusieurs solutions (selon la version d'Office) et cela est détaillé sur cette page officielle.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5499.Voir tous les posts

One thought on “Microsoft Word : un exploit PoC est disponible pour cette faille de sécurité !

  • Il y’a pas que RTF Sachez que TTF et OTF sont également utiliser par les vilains hackers ! Voilà voilà !

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.