Microsoft a publié un correctif d'urgence hors bande pour remédier à une vulnérabilité de jour zéro de Microsoft Office activement exploitée, répertoriée sous le nom de CVE202621509. La faille est un contournement de la fonctionnalité de sécurité qui permet aux attaquants de contourner les mesures d'atténuation basées sur COM/OLE dans Microsoft 365 et Microsoft Office.


La vulnérabilité est actuellement exploitée dans la nature et a été ajoutée au catalogue des vulnérabilités exploitées connues (KEV) de la CISA, ce qui augmente l'urgence de la remédiation.

Détails de la vulnérabilité -

CVE202621509

  • Type : Contournement de la fonction de sécurité
  • Gravité : CVSS 7.8 (élevée )
  • Produits affectés :
  • Microsoft Office 2016
  • Microsoft Office 2019
  • Microsoft Office 2021
  • Microsoft 365 Apps

Origine du problème -

  • Microsoft identifie le problème comme étant "l'utilisation d'entrées non fiables dans une décision de sécurité", permettant aux attaquants de contourner les protections OLE.

Vecteur d'attaque -

  • Les acteurs de la menace doivent envoyer un fichier Office spécialement conçu.
  • Le succès de l'attaque dépend de l'interaction avec l'utilisateur - le destinataire doit être convaincu d'ouvrir le fichier.
  • Le volet de prévisualisation n'est pas un vecteur, ce qui réduit le risque par exposition passive.

Exploitation dans la nature

Microsoft reconnaît que la vulnérabilité est activement exploitée, bien que les détails sur la portée de la campagne, l'attribution de l'acteur de la menace ou les TTP ne soient pas divulgués. Le problème a été découvert en interne par MSTIC, MSRC et l' équipe de sécurité du groupe de produits Office.

Impact -

Impacts potentiels

  • Contournement des contrôles de sécurité OLE
  • Exécution de composants COM/OLE malveillants
  • Livraison de charges utiles secondaires
  • compromission des informations d'identification par le biais de flux de documents malveillants
  • Exposition accrue dans les environnements d'entreprise où les macros Office et les composants intégrés sont courants .

Exposition des entreprises

Les organisations restent exposées à un risque élevé si

  • les utilisateurs reçoivent fréquemment des fichiers Office externes
  • Les anciens déploiements d'Office (2016/2019) sont toujours actifs .
  • Les flux de travail des documents reposent sur une automatisation intégrée basée sur OLE ou COM.

Atténuation et correctifs -

Microsoft a poussé des mises à jour d'urgence pour:

  • Office 2019
  • 32bit : 16.0.10417. 20095
  • 64bit : 16.0.10417. 20095
  • Office 2016
  • 32bit : 16.0.5539. 1001
  • 64bit : 16.0.5539. 1001

Protection automatique

  • Les utilisateurs d'Office 2021 et des versions ultérieures sont protégés par un changement de service, maisdoivent redémarrer leurs applications Office pour que la protection soit activée.

Recommandations

Action immédiate

  • Déployer les correctifs d'urgence sur toutes les installations Office (priorité 2016/2019).
  • Appliquer le redémarrage des applications Office pour les utilisateurs de 2021/Microsoft 365.

 

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien prenez contact avec nous pour savoir comment protéger votre organisation.

 

Contactez-nous