Virus Word : comment y faire face ?

Afficher le sommaire Masquer le sommaire

La propagation des virus et des malwares sur internet ne date pas d’hier dans l’univers informatique. Bien que ce ne soit pas une première, l’outil de bureautique Word de Microsoft est aujourd’hui une proie à un malware bien caché qui peut faire des victimes très facilement.

Un malware discret

L’antivirus de la suite de bureautique Office n’a pas pu détecter à temps la prolifération d’un nouveau malware qui a été découvert par hasard par des chercheurs de HP Wolf Security. Un document Word malveillant qui a été analysé par la plateforme Virus Total depuis une adresse IP basée en Biélorussie a renfermé la vulnérabilité.

Surnommée « Follina », cette faille se propage très facilement. De nombreux cybercriminels l’utilisent déjà. Quand l’utilisateur lance un document via l’application de bureautique, les commandes PowerShell peuvent être exécutées via un serveur distant.

Ce qui enclencherait une attaque directe aux programmes de Microsoft Office, et ce, sans demander un droit d’administration sur le PC ni une macro. Un fait important que Kevin Beaumont, un chercheur de renom dans la cybercriminalité, avait déjà annoncé dans son blog en avril dernier.

Une faille dangereuse

Virus word

La dangerosité de ce malware réside initialement dans le fait qu’il est facilement exploitable. En effet, il peut être enclenché sans qu’un utilisateur intervienne. En zéro clic, le malware peut proliférer sous Protected View, la sécurité d’Office, en changeant le format du document en « .rtf ».

Le hacker pourra alors récupérer aisément des documents dans la machine de la victime. Sans parler des hachages classiques liés au piratage des mots de passe pour d’éventuelles créations de comptes avec l’aval de l’utilisateur.

L’attaquant pourra également installer des logiciels, modifier, visualiser voire supprimer des données. Des actes recrudescents qui coïncident particulièrement avec le conflit russo-ukrainien.

De plus, bon nombre d’experts en sécurité ont trouvé qu’il peut attaquer différentes versions d’Office, entre autres :

  • Office 365.
  • Office 2013.
  • Office 2016.
  • Office 2021.
  • Office Pro Plus sur Windows 11.

Chargé à distance, le code malveillant ne peut pas être détecté en tant que menace.

En effet, le document Word infecté ne renferme aucun malware. Aucun antivirus ne peut le détecter ni le mettre en quarantaine.

La réponse de Microsoft

Tout de suite classée comme CVE-2022-30190 après sa détection, la réparation de la vulnérabilité « Follina » est au cœur des préoccupations des équipes de Microsoft. Pour la répartie, la firme de Redmond a expliqué que la faille est cernée vu que les développeurs connaissent les potentiels de cette dernière.

Pour pallier à la propagation zéro clic du malware, Microsoft conseille l’activation de la fonction « empêcher toutes les applications Office de créer un processus enfant ». Une solution qui paraît assez simple et facile mais qui peut porter ses fruits.

Les utilisateurs peuvent également se tourner vers l’antivirus Microsoft Defender 1.367.719.0 ou une version plus actuelle pour détecter en amont ce type de malware et d’autres de sa lignée.

De même, Microsoft a aussi tenu à bloquer automatiquement des macros suspectes lors des téléchargements de documents sur Internet pour limiter les malwares. Une initiative qui fait preuve de bonne foi de la part de l’éditeur.

Un problème insolvable sans Microsoft ?

Comme les macros permettent l’automatisation de certaines tâches, elles peuvent prendre en main l’exécution des malwares. Même si elles fluidifient la productivité et l’efficacité des exécutions, la sécurité prime.

Pour arrêter ce fameux malware et en empêcher d’autres à proliférer, la désactivation des macros peut être la solution principale proposée par les experts. Mais comme cette désactivation n’a aucun effet sur le malware, les macros ne sont pas les solutions adaptées.

Pourtant, d’autres chercheurs proposent la suppression de l’association des fichiers pour MS-MSDT afin d’empêcher le malware de s’exécuter de lui-même.

À l’heure actuelle, le patch infaillible pour catalyser CVE-2022-30190 est encore entre les mains de Microsoft. La faille aurait effectivement été corrigée dans l’Office 365 Insider de Microsoft. Une version non finalisée qui n’est pas encore présentée au public.

Stratégie marketing à part, cette solution semble être la plus appropriée pour arriver à combler cette nouvelle vulnérabilité de Word. La version finale du programme Office 365 Insider comprendrait en effet des fonctionnalités et des avantages plus avancés.

Réagissez à cet article