Comment les pirates exploitent les documents Microsoft Word pour pirater Windows
Un bogue récemment découvert dans le moteur de navigateur propriétaire MSHTML de Microsoft permet aux pirates d'exécuter du code à distance dans toutes les versions de Windows. Les attaquants utilisent des documents Word spécialement conçus pour exploiter ce bogue zero-day. Malheureusement, MSHTML est également utilisé par plusieurs produits Microsoft, notamment Skype, Visual Studio et Microsoft Outlook, le problème est donc assez répandu.
En tant que tel, explorons comment fonctionne l'exploit et comment vous en protéger.
Comment fonctionne l'exploit Zero-Day de Microsoft Word ?
L'attaque commence lorsque les utilisateurs sont amenés à ouvrir un document Word armé. Ce document contiendra un contrôle ActiveX spécialement conçu pour être géré par le moteur MSHTML. Une fois chargé avec succès, les pirates peuvent utiliser ce contrôle ActiveX pour exécuter du code à distance sur l'appareil compromis.
Microsoft suit ce bogue sous le nom de CVE-2021-40444 et lui a attribué un score CVSS de 8,8. Cela fait du bogue MSHTML un problème à fort impact avec le potentiel de causer des dommages considérables.
Comment atténuer l'attaque MSHTML
Les utilisateurs peuvent empêcher l'attaque MSHTML en n'ouvrant pas les documents Word non fiables. Même si vous cliquez accidentellement sur de tels documents, l'exécution d'Office avec les configurations par défaut vous protégera probablement de cette dernière attaque zero-day liée à Microsoft.
Par défaut, Office ouvre les documents téléchargés à partir d'Internet en mode protégé ou Application guard pour Office. Cette fonctionnalité empêche les fichiers non fiables d'accéder aux ressources système cruciales, vous serez donc probablement en sécurité.
Cependant, les utilisateurs qui opèrent avec des privilèges d'administrateur sont exposés à un risque élevé d'attaque MSHTML. Étant donné qu'aucun correctif de travail n'est disponible pour le moment, nous vous recommandons d'ouvrir les documents Office uniquement en tant qu'utilisateur standard, où le mode protégé peut vous enregistrer. Microsoft a également déclaré que la désactivation du contrôle ActiveX peut empêcher cette attaque.
Comment désactiver le contrôle ActiveX
Pour désactiver le contrôle ActiveX, ouvrez un éditeur de texte et créez un fichier nommé disable-activex.reg . Vous pouvez appeler ce fichier n'importe quoi tant que l'extension .reg est présente. Maintenant, collez ce qui suit dans le fichier et enregistrez-le.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones ]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones3]
"1001"=dword:00000003
"1004"=dword:00000003Double-cliquez sur le fichier et cliquez sur Oui lorsque Windows vous y invite. Redémarrez votre PC une fois cela fait, et Windows appliquera les nouvelles configurations.
Méfiez-vous des documents Word non fiables
Microsoft n'a pas encore publié de correctifs officiels pour l'exploit MSHTML. Ainsi, ne pas cliquer sur les documents téléchargés sur Internet est votre meilleur pari si vous voulez rester en sécurité. Heureusement, Defender peut détecter et empêcher cette attaque de compromettre votre système. Assurez-vous donc d'activer Microsoft Defender et d'activer la protection en temps réel.