La compagnie britannique Sophos vient de faire état d’un nouveau malware qui cible les machines équipées d’Office et permet d’exécuter du code à distance, via des RAT (Remote Access Trojan) et ceci sans passer par l’exécution d’une macro Office. Autrement dit, on ne voit rien.

Le plus étonnant dans cette nouvelle attaque est qu’elle exploite une vulnérabilité vieille de plus de 20 ans, très précisément le protocole DDE (Dynamic Data Exchange), largement exploité par les machines fonctionnant sous Windows.

A quoi sert DDE

DDE a été mis en place par Microsoft pour permettre à des applications, dont Office, de partager des données et des documents. Ce sera le cas par exemple pour un fichier Word, dans lequel vous allez insérer une image ou une feuille de calcul Excel, qui seront mis à jour en temps réel, si les fichiers source ont changé. Word se comportant en la matière comme une sorte de container de documents.

On parlait à l’époque de documents composés, l’avantage étant qu’ils étaient donc toujours à jour, puisqu’ils n’étaient jamais copiés.

Le problème c’est que DDE n’a jamais été réputé pour son imperméabilité aux attaques, de sorte que si vous ouvrez un fichier Word de ce type, vous n’aurez aucun moyen pour vous rendre compte s’il est dangereux ou non, car il ne comportera aucune macro susceptible de transporter un malware. Grâce à DDE vous importerez les constituants de votre fichier Word quand vous en aurez besoin, mais ce sont justement ces constituants qui pourront être pollués. De cette manière DDE pourra pointer vers une source extérieure, dans laquelle il y aura un composant d’exécution de code à distance, qui aura tout le loisir de faire des dégâts, avant même que vous vous rendiez compte de ce qu’il fait.

Fort heureusement, tous les logiciels Office ne sont pas logés à la même enseigne.

Ainsi Outlook est-il mieux protégé, qui demande l’accord de l’usager avant d’aller chercher une pièce attachée, dans laquelle pourrait se glisser un code malveillant. Pour être sûr d’être bien compris, Outlook pose même deux fois la question, pour savoir si oui ou non il peut importer un fichier d’une source externe, non contrôlée. Si vous tapez non, l’attaque sera bloquée.

Comment se protéger

Sophos nous fournit quelques pistes intéressantes, qui vont nous permettre de réduire les risques liés à DDE. Mais qui ne sont pas véritablement nouvelles.

D’abord ne jamais ouvrir de pièces attachées provenant de sources que vous ne connaissez pas. Ce qui est plus facile à dire qu’à faire, car dans la pratique on ne se posera jamais la question de savoir d’où viennent les éléments constitutifs d’un fichier Office. On n’a pas le temps.

On peut aussi forcer l’affichage des messages en mode texte et donc passer outre au formatage spécifique d’Outlook. Une pratique qui va bloquer l’exécution du code non invité, mais qui aura l’inconvénient d’alourdir la présentation des messages et de les rendre quelque peu illisibles.

Sophos suggère encore de forcer la lecture des popups, car c’est elles qui contiennent les boîtes de dialogue. Si vous les occultez, vous serez sans doute plus tranquilles au quotidien, mais vous ne verrez pas passer les questions portant sur les éléments récupérés de sources non connues.

Pour l’instant Microsoft n’a pas indiqué de façon précise comment il allait s’y prendre pour enrayer cette nouvelle (vieille) faiblesse et rien n’a été dit concernant un éventuel patch.

Il est vrai que l’annonce de Sophos n’a que quelques heures. Attendons la suite.