Vous êtes sur le site public du Cert-IST

Alerte orange CERT-IST/AL-2020.008 : Attaques visant F5 BIG-IP

La saga Office

Date :26 Juillet 2005

Publication: Article

La saga Office

Ce mois-ci plusieurs débats ont été initiés autour de certains comportements des documents Microsoft Office (Word, Excel, Powerpoint, ...).

1. Fichiers Word trop bavards

Les documents Word ont la possibilité d’incorporer des images au milieu du texte. Ces images sont généralement stockées sur le disque dur local. Cependant depuis la version 97 de Word, il est possible d’importer des images depuis Internet. Ainsi cette fonctionnalité peut être utilisée pour pister le parcours d’un document Word.

Imaginons le scénario suivant :

  1. Un personne A crée un document Word en y insérant un lien vers une image située sur son serveur. La taille de cette image dans le document Word est de 1x1 pixel, quasiment invisible.

  2. Le document est distribué ensuite à d’autres personnes.

  3. Dès lors, à chaque fois que le document est ouvert par une personne, une connexion du poste local vers le serveur censé contenir l’image est réalisée pour téléchargée la dite image.

  4. Ainsi, la personne A aura connaissance, entre autres, des adresses IP des postes sur lesquels son document Word a été ouvert.

Cette technique s’est alors vu associée au célèbre mécanisme des cookies.

Avis de Privacy Foundation : http://www.privacyfoundation.org/advisories/advWordBugs.html

La réponse de Microsoft est disponible à http://www.microsoft.com/technet/security/cookie.asp

 

2. Extensions Office

Dans la plupart des cas, lorsqu’un utilisateur désire ouvrir une fichier ayant une extension " exotique " (ex : fichier.xxx) , Microsoft Windows demande avec quelle application ce dernier doit être ouvert.

Cependant ce comportement varie lorsqu’on a affaire à des documents Office dissimulés dans un fichier ayant une extension exotique.

Par exemple, prenons un document Word (document.doc) et renommons-le fichier.aze. Si nous ouvrons ce fichier, le système détecte que ce dernier est un document Word et l’ouvre directement avec le logiciel Word.

Ce mécanisme peut être utilisé pour dissimuler des virus macros dans des documents Word/Excel ayant des extensions " exotiques " qui ne sont pas prises en compte par l’anti-virus

Archive de BugTraq : http://www.securityfocus.com/vdb/bottom.html?vid=1632

 

3. Les DLL et Office

Pour son exécution, un document Office requiert entre autre la DLL, riched20.dll ou msi.dll

Lorsque ce document Office est ouvert à partir de l’explorateur système, il cherche d’abord cette DLL dans le répertoire courant avant de la chercher dans les répertoires systèmes définis dans la variable PATH.

Cette technique peut permettre l’exécution d’un code arbitraire contenu dans une fausse DLL située dans le même répertoire que le document Office. Il faudra néanmoins convaincre l’utilisateur de télécharger le document Word malicieux et sa DLL associée sur son poste.

Nota : la DLL malicieuse ne pourra être chargée en mémoire que si la véritable DLL n’y est pas présente.

Cependant, une exploitation peut être envisageable :

  • à travers un document Office malicieux (et sa DLL associée) situé sur un partage réseau.

  • à travers le client de messagerie Eudora :

Lorsque qu’une DLL attachée à un e-mail est reçue par Eudora, elle est sauvegardée par le client de messagerie dans un répertoire particulier, répertoire de dépôt défini par l’utilisateur, sans en notifier ce dernier. Ce répertoire contiendra également TOUS les fichiers attachés (y compris les fichiers Office) reçus par Eudora. Ceci rend alors le poste vulnérable lors de la lecture d’un document Office contenu dans un attachement.

Une solution temporaire est de modifier le fichier de configuration d’Eudora afin d’avertir l’utilisateur de la sauvegarde d’une DLL dans son répertoire de stockage (Fichier Eudora.ini ligne : WarnLaunchExtensions=exe|com|bat|cmd|pif|htm|do|xl|reg|lnk|vbs|dll)

Selon Microsoft l’exploitation de ce problème à travers Internet est impossible.

Archive de BugTraq : http://www.securityfocus.com/vdb/bottom.html?vid=1699