Il faut toujours se méfier des mails reçus et notre société n’échappe pas à la règle !

Ce lundi, j’avais reçu un mail étrange que j’avais mis de côté pour analyse. Ce mail semblait venir de Microsoft. En voici le contenu :

J’ai bien entendu identifié ce mail comme étant un spam grâce au lien à cliquer qui me semblait étrange (domaine et l’espace dans l’url sans compter le fait que Microsoft ne m’envoie pas ce type de mail).

Ayant pu trouver 10 mn dans mon emploi du temps surchargé, j’ai donc commencé par faire une recherche rapide sur le domaine arizonaic.

Comme je le pensais, il s’agissait bien d’une tentative d’infection (très mal faites) qui voulait utiliser une faille potentielle des produits Microsoft (source : http://www.malware-traffic-analysis.net/2017/10/30/index2.html)

En effet, un nouvel exploit utilisant la fonctionnalité DDE (Dynamic Data Exchange) de Microsoft Office permet à un attaquant de lancer du code malicieux sur une machine. Ce code malicieux peut s’exécuter soit à l’ouverture d’un document word par exemple ou d’un email (dans Outlook) au moment d’y répondre ou de le transférer.

Le vecteur d’infection DDE est très simple à mettre en œuvre et a été le point d’infection de nombreux rançonware comme Spread Locky. Heureusement, il est possible de s’en protéger. Il suffit de distinguer 2 cas de figures : infection via une pièce jointe ou via outlook.

Tentative d’infection par pièce jointe (word, excel, etc.)

En général, tout fichier Office venant de l’Internet est considéré comme menaçant par Microsoft ce qui entraine l’avertissement suivant :

Ce message arrive tellement souvent qu’à un moment on en tient plus compte et on clique sur « Activer l’édition » sans réfléchir. A ce niveau, il n’y a pas encore d’infection mais passer en mode édition entraine le processus suivant. En premier lieu, lors de l’ouverture d’un document avec des champs DDE, Office (Word, Excel, etc.) cherchera à mettre à jour automatiquement le contenu associé à ces ressources. Vous verrez donc apparaitre le message suivant :

Il est nécessaire de valider deux boîtes de dialogue avant d’arriver à l’infection ce qui peut mettre la puce à l’oreille quand ce document vient d’une source incertaine. Tout d’abord, on va vous demander d’ouvrir ce document en mode édition :

Cliquez sur oui fera alors apparaitre cet autre message (la source entre parenthèse pouvant différer selon l’infection) :

Ce message est généralement assez étrange afin que la plupart des utilisateurs cliquent sur non. Mais ne vous y fiez pas, les hackers ont la possibilité de modifier ce message pour le rendre moins suspect :

A ce niveau, si vous avez cliqué sur « oui à chaque fois », c’est trop tard. Il faut désinfecter. Et rapidement !

Alors comment s’en protéger ?

La première chose à faire est de décocher « Mise à jour des liaisons à l’ouverture » dans les options avancées de Office :

Dans le cadre d’une organisation, ce paramètre est modifiable via une stratégie de groupe (GPO) pour le déployer sur votre parc informatique. Après avoir installé les modèles d’administration Office, vous pourrez créer un objet de stratégie de groupe et modifier vos paramètres par produit pour désactiver l’option « Mettre à jour les liaisons à l’ouverture »

Tentative d’infection par Outloook

Le problème ici est double :

  • Un champs DDE peut être intégré directement dans le corps d’un email sans même passer par une pièce jointe.
  • Il n’existe pas d’options à modifié ou de modèles d’administration pour modifier le comportement d’Outlook.

Dans le premier cas, heureusement, comme je le disais précédemment, le champs DDE dans un mail Outlook n’est pris en compte que lors de l’édition du mail. C’est à dire au moment de répondre ou de transférer ce mail. Donc, en tant qu’administrateur, si un utilisateur vous fait part de ses doutes sur un mail, ne lui demandez pas le vous le transférer 🙂

Pour protéger ses utilisateurs, heureusement il reste la base de registre et le déploiement par GPO. Par exemple, pour Office Word 2016, il suffit de mettre à jour la clé « DontUpdateLinks » avec la valeur REG_DWORD = 1 dans HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Word\Options\WordMail

Conclusion

La sécurité ne consiste donc pas seulement à maintenir vos système à jour. La formation de vos utilisateurs est donc aussi primordiale et tenir une veille permanente est plus que recommandé.

Même la réunion n’est pas à l’abri d’attaque de tout genre. Notre société peut vous aider à sécuriser votre infrastructure. N’hésitez pas à nous contacter pour en savoir plus.

Votre nom (obligatoire)

Votre email (obligatoire)

Sujet

Votre message

 

 

 

%d blogueurs aiment cette page :