La vulnérabilité d'exécution de code à distance dans Microsoft Office (CVE-2017-0199) réside dans Windows Object Linking and Embedding (OLE), un correctif a donc été publié en avril de cette année. Mais les dangers peuvent encore apparaître sous d’autres formes.
Les chercheurs en cybersécurité de Trend Micro ont découvert une nouvelle campagne de malware utilisant la même vulnérabilité, mais c'est la première fois qu'elle est cachée derrière un fichier PowerPoint (PPSX).
Selon ces chercheurs, l'attaque commencerait par une fausse pièce jointe à un e-mail provenant d'un câblo-opérateur et ciblerait principalement les entreprises du secteur de la fabrication électronique. Les chercheurs pensent que ce type d’attaque utilise une adresse d’expéditeur déguisée en véritable e-mail du service commercial.
Comment attaquer via des fichiers PowerPoint
Étape 1 : L'e-mail contient en pièce jointe un fichier PowerPoint (PPSX) infecté, prétendant fournir des informations de livraison sur une commande.
Faux e-mail contenant des informations sur les commandes
Étape 2 : Une fois exécuté, le fichier PPSX appellera un fichier XML préprogrammé pour télécharger le fichier logo.doc à partir de l'adresse distante et l'exécutera via la fonction PowerPoint Show.
Étape 3 : Le fichier logo.doc exploitera la vulnérabilité CVE-2017-0199, en téléchargeant et en exécutant RATMAN.exe sur le système cible.
Étape 4 : RATMAN.exe est une version cheval de Troie de l'outil Remcos Remote Control qui, une fois installé, permettra aux attaquants de contrôler l'ordinateur infecté à partir d'un serveur C&C distant.
Remcos était à l'origine un outil légitime, mais les pirates ont créé une version cheval de Troie
Remcos est un outil d'accès à distance légal et personnalisable qui permet aux utilisateurs de contrôler leurs systèmes depuis n'importe où dans le monde avec certaines fonctionnalités, telles que le chargement, l'exécution de ligne de commande et l'enregistrement des activités de bureau, l'enregistrement du clavier, de l'écran et de la webcam ainsi que le microphone.
Étant donné que la vulnérabilité est utilisée pour récupérer des fichiers Rich Text File (RTF) infectés, la plupart des méthodes de détection de CVE-2017-0199 se concentrent sur RTF. L'utilisation du nouveau fichier PPSX permet également aux attaquants de contourner les outils de détection de virus.
Le moyen le plus simple de se prémunir contre ce type d'attaque est de télécharger le patch de Microsoft sorti en avril à cette adresse. https://portal.msrc.microsoft.com/en-US/eula
Découvrez comment imprimer des diapositives dans PowerPoint 2016. Imprimez des versions personnalisées pour vos présentations avec des options variées.
Découvrez comment choisir et appliquer des thèmes dans PowerPoint 2016 pour créer des présentations professionnelles avec un aspect cohérent.
Apprenez à insérer des légendes d
Dans PowerPoint, chaque diapositive peut contenir plusieurs éléments. Découvrez comment utiliser les fonctionnalités d\
Découvrez comment utiliser les fonctions Rechercher et Remplacer dans PowerPoint 2019 pour améliorer votre productivité lors de la création de présentations.
Pour créer des présentations PowerPoint efficaces, il est important de rendre les diapositives vraiment faciles à lire. L
Découvrez comment utiliser efficacement les fonctionnalités de retrait et d
SmartArt dans PowerPoint 2016 permet aux présentateurs de transmettre des informations sous forme graphique au lieu d'utiliser simplement du texte brut. Il existe de nombreuses façons d'utiliser SmartArt pour illustrer différentes idées.
Un graphique est un outil que les utilisateurs peuvent utiliser pour représenter graphiquement des données. L'utilisation d'un graphique dans une présentation aide le public à mieux comprendre la signification des chiffres.
PowerPoint 2016 permet aux utilisateurs d'ajouter du son aux présentations. Par exemple, les utilisateurs peuvent ajouter de la musique de fond à une diapositive et des effets sonores à une autre diapositive, et même enregistrer leur propre narration ou commentaire.
