Les criminels ne respectent plus rien. Alors qu’on pensait être tranquilles avec Powerpoint, on apprend qu’ils ont exploité une faille dans l’interface OLE (Object Linking and Embedding), pour nous faire bénéficier via Powerpoint de quelques attentions dénuées de toute sympathie.

OLE n’est pas un protocole nouveau. Il date de 1990 pour sa version 1.0 et a été exploité jusqu’à maintenant par les criminels pour diffuser des fichiers textes malveillants, essentiellement des .rtf (faille CVE-2017-0199).

Mais comme cela ne leur suffisait pas, ils s’en servent désormais pour infecter les présentations Powerpoint proprement dites, qui leur servent de chevaux de Troie pour infecter nos machines.

En fait, cette attaque d’un genre nouveau ne cible pas tout le monde, pour l’instant tout au moins. Elle vise le milieu de l’industrie électronique, les pirates se faisant passer pour des prestataires s’adressant à des professionnels du domaine, via des messages de phishing sous prétexte de demandes de renseignements. Une pièce attachée .ppsx contenant « a priori » des informations de livraison, est associée au message qui contient évidemment toute autre chose que ces fameuses données.

L’attaque CVE-2017-8570 se sert de diaporamas XMLPowerpoint pour transporter un exécutable qui vous connectera à un serveur de commande et contrôle, qui lui-même lancera l’exécution d’un malware très dangereux, Remcos. Morale de l’histoire : ne jamais ouvrir un diaporama PowerPoint sans être certain de sa provenance (illustration Trend Micro).

 

Les caractéristiques de l’attaque

Si vous avez cliqué sur la pièce attachée, un fichier .PPSX, c’est-à-dire un diaporama Powerpoint Open XML, qui lit une présentation normale PowerPoint, mais sans pouvoir être modifiée, vous ne verrez pas grand-chose, si ce n’est une grande page blanche avec le texte CVE-2017-8570, autrement dit la référence de la vulnérabilité exploitée par les pirates, connue également des spécialistes du domaine. Le problème étant que ce fichier est de type XML (c’est la différence avec les .PPS habituels) et qu’il contient un code exécutable JavaScript.

Ce code, sans votre accord, va ensuite exécuter des instructions PowerShell pour télécharger un autre exécutable, beaucoup plus dangereux, RATMAN.exe, une version cheval de Troie d’un outil de sollicitation à distance, qui vous connecte à un serveur de contrôle et commande. Aie…

A partir de là, vous êtes « mort ».

Car le serveur distant est capable de toutes les turpitudes : l’enregistrement de vos frappes clavier pour récupérer les mots de passe de vos connexions, la copie d’écrans quand vous êtes connecté à votre banque préférée, des enregistrements via votre webcam ou micro et bien entendu, le téléchargement d’autres malwares pour compléter le tableau.

Pas des amateurs

Des indices tendent à prouver que nous n’avons pas affaire à des débutants, car le malware exploite des outils de protection de réseaux, qui rendent plus difficile la tâche des professionnels pour nous en protéger.

Fort heureusement, il existe un correctif que Microsoft avait publié dès le mois d’avril, qu’il suffit donc de passer. En mode préemptif évidemment, car si vous avez déjà le cheval de Troie, il ne vous restera que les yeux pour pleurer.

Pour notre part nous ne saurions trop recommander aux affiliés LeMarson d’être paranoïaques et de ne jamais ouvrir un Powerpoint qui vous arrive par le biais d’une pièce attachée.

Il est vrai que s’il se fallait se méfier de tout et de tout le monde, nous ne pourrions plus rien faire et serions condamnés à regarder les « feux de l’amour » à la télévision. L’horreur, quoi…