Quatre vulnérabilités de sécurité découvertes dans la suite Microsoft Office, y compris Excel et Office en ligne, pourraient être potentiellement exploitées par des acteurs malveillants pour fournir un code d’attaque via des documents Word et Excel.

« Enracinées dans le code hérité, les vulnérabilités auraient pu donner à un attaquant la possibilité d’exécuter du code sur des cibles via des documents Office malveillants, tels que Word, Excel et Outlook », ont déclaré des chercheurs de Check Point Research dans un rapport. publié aujourd’hui.

Trois des quatre failles – suivies comme CVE-2021-31174, CVE-2021-31178, CVE-2021-31179 – ont été corrigées par Microsoft dans le cadre de sa mise à jour Patch Tuesday pour mai 2021, avec le quatrième correctif (CVE-2021 -31939) qui sera publié dans la mise à jour de juin qui sera déployée plus tard dans la journée.

Dans un scénario d’attaque hypothétique, les chercheurs ont déclaré que la vulnérabilité pourrait être déclenchée simplement en ouvrant un fichier Excel (.XLS) malveillant diffusé via un lien de téléchargement ou un e-mail.

Découlant d’erreurs d’analyse faites dans le code hérité trouvé dans les formats de fichier Excel 95, les vulnérabilités ont été trouvées par brouiller MSGraph (« MSGraph.Chart.8 »), un composant relativement sous-analysé dans le composant Microsoft Office qui est comparable à Microsoft Equation Editor en termes de surface d’attaque. L’éditeur d’équations, une fonctionnalité désormais disparue de Word, fait désormais partie de l’arsenal de plusieurs acteurs de la menace liés au moins depuis fin 2018.

« Étant donné que l’ensemble de la suite Office a la capacité d’intégrer des objets Excel, cela élargit le vecteur d’attaque, permettant d’exécuter une telle attaque sur presque tous les logiciels Office, y compris Word, Outlook et autres », ont déclaré les chercheurs de Check Point.

La liste des quatre vulnérabilités est la suivante –

• CVE-2021-31179 – Vulnérabilité d’exécution de code à distance Microsoft Office
• CVE-2021-31174 – Vulnérabilité de divulgation d’informations dans Microsoft Excel
• CVE-2021-31178 – Vulnérabilité chinoise de divulgation d’informations Microsoft Office
• CVE-2021-31939 – Vulnérabilité d’utilisation après utilisation gratuite de Microsoft Office

Microsoft, dans son avis pour CVE-2021-31179, avait précédemment noté que l’exploitation de la vulnérabilité nécessite qu’un utilisateur ouvre un fichier spécialement conçu, ajoutant que l’adversaire devrait inciter les victimes à cliquer sur un lien qui redirige les utilisateurs vers le document malveillant. .

« Les vulnérabilités découvertes affectent la quasi-totalité de l’écosystème Microsoft Office », a déclaré Yaniv Balmas, responsable de la cyber-recherche chez Check Point. « Il est possible d’exécuter une telle attaque sur presque tous les logiciels Office, y compris Word, Outlook et autres. L’un des principaux enseignements de nos recherches est que le code hérité continue d’être un maillon faible de la chaîne de sécurité, en particulier dans les logiciels complexes comme Microsoft Bureau. »

Il est fortement recommandé aux utilisateurs de Windows d’appliquer les correctifs dès que possible pour atténuer les risques et éviter les attaques qui pourraient exploiter les faiblesses susmentionnées.