Windows : Comment les pirates exploitent les documents Microsoft Word pour le pirater

Grâce à un nouvel exploit, la simple ouverture d’un document Word compromis peut causer d’énormes dommages à votre système.

Un bogue récemment découvert dans le moteur de navigation MSHTML propriétaire de Microsoft permet aux pirates d’exécuter du code à distance dans toutes les versions de Windows.

Les attaquants utilisent des documents Word spécialement conçus pour exploiter ce bogue de type « zero-day ».

Malheureusement, MSHTML est également utilisé par plusieurs produits Microsoft, notamment Skype, Visual Studio et Microsoft Outlook, de sorte que les problèmes sont assez répandus doivent être résolue par réparateurs ordinateurs.

Nous allons donc examiner comment fonctionne cet exploit et comment s’en protéger.

Comment fonctionne l’exploit Zero-Day de Microsoft Word ?

L’attaque commence lorsque les utilisateurs sont incités à ouvrir un document Word militarisé. Ce document contient un contrôle ActiveX spécialement conçu pour être manipulé par le moteur MSHTML.

Lorsqu’il est chargé avec succès, les pirates peuvent utiliser ce contrôle ActiveX pour exécuter du code à distance sur l’appareil compromis.

Microsoft suit ce bogue sous le nom de CVE-2021-40444 et lui a attribué un score CVSS de 8.8. Cela fait du bogue MSHTML un problème à fort impact, susceptible de causer des dommages considérables.

Comment atténuer l’attaque MSHTML ?

Les utilisateurs peuvent prévenir l’attaque MSHTML en n’ouvrant pas de documents Word non fiables. Même si vous cliquez accidentellement sur de tels documents, l’exécution d’Office avec les configurations par défaut vous protégera probablement de cette dernière attaque de type « zero-day » liée à Microsoft.

Par défaut, Office ouvre les documents téléchargés depuis l’Internet en mode Affichage protégé ou Protection des applications pour Office. Cette fonction empêche les fichiers non fiables d’accéder à des ressources système cruciales, de sorte que vous serez probablement en sécurité.

Cependant, les utilisateurs qui travaillent avec des privilèges d’administrateur sont très exposés à l’attaque MSHTML. Étant donné qu’aucun correctif n’est disponible pour l’instant, nous vous recommandons d’ouvrir les documents Office uniquement en tant qu’utilisateur standard, où la fonction Protected View peut vous sauver.

Microsoft a également déclaré que la désactivation du contrôle ActiveX peut empêcher cette attaque.

Comment désactiver le contrôle ActiveX

Pour désactiver le contrôle ActiveX, ouvrez un éditeur de texte et créez un fichier nommé disable-activex.reg. Vous pouvez appeler ce fichier comme vous le souhaitez tant que l’extension .reg est présente. Maintenant, collez ce qui suit dans le fichier et enregistrez-le.

Double-cliquez sur le fichier et cliquez sur Oui lorsque Windows vous le demande. Redémarrez votre PC une fois que c’est fait, et Windows appliquera les nouvelles configurations.

Méfiez-vous des documents Word non fiables

Microsoft n’a pas encore publié de correctifs officiels pour l’exploit MSHTML. Par conséquent, ne pas cliquer sur les documents téléchargés depuis l’internet est votre meilleure option si vous voulez rester en sécurité.

Heureusement, Defender peut détecter et empêcher cette attaque de compromettre votre système. Assurez-vous donc d’activer Microsoft Defender et d’activer la protection en temps réel.

Sébastien: