Microsoft a mis en garde les utilisateurs de Word 2010 contre des attaques exploitant une vulnérabilité non corrigée de l'éditeur de texte. En attendant la livraison d'un patch, la firme de Redmond propose un outil automatisé destiné à protéger les utilisateurs. « Un attaquant peut provoquer l'exécution de code à distance si l'utilisateur ouvre un fichier Rich Text Format (RTF) ou un courriel malveillant dans Outlook en utilisant Word comme logiciel de prévisualisation des messages», a déclaré lundi dans un blog Dustin Childs, manager et porte-parole du groupe Trustworthy Computing de Microsoft.

Selon le bulletin de sécurité publié hier par la société, la faille exploitée dans Word a été signalée par trois membres de l'équipe sécurité de Google. Le bug se trouve dans la fonction d'analyse des fichiers RTF de Word, un format couramment utilisé pour échanger des documents entre utilisateurs qui n'utilisent pas forcément tous Microsoft Word. Même si les attaques détectées jusqu'ici par Microsoft ne visaient que Word 2010, le bulletin indique que les logiciels Word 2003, 2007, 2013 et Word 2013 RT, une version de Word conçue pour le système d'exploitation Windows RT, sont tous concernés. La version Word pour Office pour Mac 2011 est également touchée.

Les attaques visent prioritairement Outlook

Dans la mesure où, sous Windows, Word est l'éditeur par défaut d'Outlook 2007, 2010 et 2013, les attaquants peuvent déclencher la vulnérabilité en incitant simplement les victimes potentielles à ouvrir ou à prévisualiser le message malveillant. Microsoft a également déclaré que les cybercriminels pouvaient mener des attaques de type « drive-by », c'est-à-dire que l'exploit se déclenche quand un utilisateur accède à une page compromise, en tirant profit de la faille découverte dans l'analyse du format RTF. « Je pense que les attaquants vont prioritairement viser Outlook, puisque Word sert de lecteur par défaut des messages dans Outlook 2007, 2010 et 2013 », a déclaré Andrew Storms, directeur DevOps pour l'entreprise de sécurité CloudPassage. « Envoyer par mail un document au format RTF sur lequel l'utilisateur cliquera pour se rendre vers un site web malveillant est de loin la stratégie la plus probable et la plus facile ».

En décembre 2012, Microsoft a déjà corrigé une faille liée au format RTF dans Word. Comme le fait parfois l'éditeur en même temps qu'il émet un avis, Microsoft a également livré un outil de contournement temporaire qui empêche Word d'ouvrir les fichiers RTF. L'outil est téléchargeable sur le site du support de Microsoft. Les utilisateurs doivent simplement cliquer sur l'icône à gauche de la page nommée « Microsoft Fix it 51010 ». Le dernier outil « Fix it » livré par Microsoft date du 19 février. Ce jour-là, l'éditeur avait publié un avis de sécurité pour une vulnérabilité dans Internet Explorer 9 (IE9) et IE10.

L'utilisation d'EMET pour endiguer le problème

Le dernier avis propose également d'autres mesures de contournement qui permettent de se passer du patch, par exemple le recours à l'outil EMET (Enhanced Migration Experience Toolkit), qui permet d'activer manuellement des technologies anti-exploits comme l'ASLR (Address Space Layout Randomisation) et DEP (prévention d'exécution des données) pour des applications spécifiques. Depuis peu, Microsoft recommande vivement l'usage d'EMET, même s'il a été initialement conçu pour l'IT d'entreprise. Selon l'éditeur, il peut servir à tous de bon filet de sécurité. EMET 4.1 est téléchargéeable à partir du site de Microsoft.

La firme n'a pas dit quand elle comptait livrer un patch pour corriger le bug de Word, ni si elle allait livrer un correctif d'urgence « out-of-band », c'est à dire avant le prochain Patch Tuesday programmé pour le 8 avril. Il est rare que la firme de Redmond livre une mise à jour « out-of-band », sauf dans le cas d'attaques massives exploitant la vulnérabilité, ce qui, si l'on en croit la déclaration de Dustin Childs, n'est pas le cas actuellement. Le patch MS13-008 est le dernier correctif « out-of-band » livré par Microsoft : l'éditeur l'avait publié en urgence en janvier 2013 pour boucher des vulnérabilités dans les navigateurs IE6, IE7 et IE8, exploitées depuis plusieurs semaines par les pirates.