Gestion du document
Origine: bjCSIRT
Numéro: 2017/AVIS/004
Date de l’alerte: 23/10/2017
TLP: White
Aperçu de la menace
Un nouveau type de virus vient de voir le jour et nous insistons sur votre vigilance. Celui ci utilise la fonction DDE (Dynamic Data Exchange), qui permet de lancer un code malicieux sur une machine à l’ouverture d’un document ou d’un e-mail (avec Outlook), sans avoir à activer les macros ou corrompre la mémoire.
Description
Le protocole DDE est une des nombreuses méthodes qu’utilise Microsoft pour partager les mêmes données en deux applications.
Le protocole est utilisé par des milliers d’applications comme Excel, Word, Quattro Pro, Visual Basic.
Lors de l’exploitation de cette vulnérabilité par le virus, aucun avertissement n’est envoyé à l’utilisateur.
Mesures à prendre
En attendant un mise à jour de Microsoft:
- Ouvrez Word, puis allez dans le menu « Fichier » -> « Options » -> Options Avancée -> Section
Général et décochez « Mise à jour des liaisons à l’ouverture ». - Même chose avec Excel, sauf qu’il faut décocher » Confirmer la mise à jour des liens »
- Concernant Outlook, il faut passer en mode texte brut pour esquiver le texte enrichi (RTF).
- Démarrez Outlook.
- Cliquez sur l’onglet Fichier du ruban, puis cliquez sur Options dans le menu.
- Cliquez sur Centre de gestion de la confidentialité dans le menu Options.
- Cliquez sur l’onglet Paramètres du Centre de gestion de la confidentialité.
Liens utiles
https://thehackernews.com/2017/10/ms-office-dde-malware-exploit.html
