Les dernières attaques contre la suite bureautique Office de Microsoft exploitent un bug non corrigé dans le Player Flash d'Adobe. « Pour les utilisateurs des versions de Microsoft Office antérieures à 2010, l'outil Enhanced Mitigation Experience Toolkit (EMET) est une solution, » ont déclaré Andrew Roth et Chengyun Chu, respectivement manager et ingénieur pour la sécurité au Microsoft Security Response Center (MSRC). « L'activation d'EMET pour les applications Office met en oeuvre un certain nombre de mesures d'atténuation, » ont écrit les membres du MSRC sur le blog Security Research & Defense de Microsoft.

L'outil EMET a été plutôt conçu pour des utilisateurs avertis, principalement les professionnels des départements informatiques des entreprises, c'est dire qu'il n'est pas simple à mettre oeuvre. Il permet d'activer manuellement la distribution aléatoire de l'espace d'adressage ASLR (Adress Space Layout Randomization) et le DEP (Data Execution Prevention), deux technologies incluses dans Windows destinées à empêcher l'exécution de code depuis des blocs de mémoire censés contenir des données.

Un cheval de Troie au format Excel

La semaine dernière, Adobe avait confirmé des attaques en cours exploitant un bug non corrigé dans son Player Flash : pour cela, les pirates utilisent des documents malveillants au format Excel, le tableur de la suite Office de Microsoft, qu'ils adressent à des victimes potentielles.

Selon Andrew Roth et Chengyun Chu, Excel 2010 inclus avec Office 2010 n'est pas sensible aux attaques en cours du fait que, dans les feuilles de calcul de cette édition, le DEP est actif par défaut. « Les attaques actuelles ne contournent pas le DEP de la version 2010, » affirment les deux membres du MSRC. Excel 2010 protège également les utilisateurs en isolant les fichiers malveillants dans la « Vue protégée » d'Office 2010, un «bac à sable» qui empêche le code d'attaque de s'échapper de l'application. Mais les personnes exécutant des versions antérieures d'Excel - notamment les versions incluses dans Office 2007 et 2003 - ne sont pas protégées par le DEP ou par la sandbox.

Une parade déjà utilisée en septembre dernier

En septembre 2010, Microsoft  avait déjà recommandé l'usage d'EMET comme parade à une attaque zero-day dirigée contre les produits d'Adobe. L'éditeur avait en effet conseillé aux utilisateurs d'utiliser EMET pour bloquer les attaques exploitant une faille non corrigée dans Adobe Reader.

La version 2.0 d'EMET est disponible gratuitement en téléchargement sur le site de Microsoft. Après le téléchargement et l'installation d'EMET, les utilisateurs doivent configurer manuellement l'utilitaire pour activer une protection dans les applications Office, Excel notamment et peut-être le navigateur Internet Explorer. Adobe prévoit de livrer un correctif pour cette vulnérabilité dans la semaine.