Nous ne cessons d’insister sur l’importance d’installer rapidement les correctifs des vulnérabilités des programmes (système d’exploitation, navigateur et applications de bureau) qui peuvent souvent être exploitées pour lancer des attaques informatiques. Voici un exemple qui illustre à la perfection cette idée : selon nos statistiques relatives aux vulnérabilités, la faille CVE-2017-11882, qui se trouve dans Microsoft Office, est celle qui a été le plus souvent exploitée lors d’attaques qui ont touché nos clients et elle est toujours populaire auprès des cybercriminels. Tout cela malgré le fait que la mise à jour de cette vulnérabilité a été publiée en novembre 2017 ! Cette notoriété durable n’a qu’une seule explication : certains utilisateurs n’ont pas installé les correctifs de Microsoft Office depuis plus de cinq ans.
Qu’est-ce que la vulnérabilité CVE-2017-11882 ?
CVE-2017-11882 est une vulnérabilité d’exécution de code à distance qui se trouve dans l’éditeur d’équations de Microsoft Office et qui est associée à l’échec du traitement des objets en mémoire. Pour exploiter cette vulnérabilité, le cybercriminel doit créer un fichier malveillant et convaincre la victime de l’ouvrir. Ce fichier est généralement envoyé par e-mail ou hébergé sur un site compromis.
L’exploitation réussie de la vulnérabilité CVE-2017-11882 permet au cybercriminel d’exécuter un code arbitraire avec les privilèges de l’utilisateur qui a ouvert le fichier malveillant. Si la victime est connectée avec des privilèges d’administrateur, le cybercriminel peut prendre le contrôle du système affecté. Il peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes.
Fin 2017, lorsque les renseignements relatifs à cette vulnérabilité ont été publiés pour la première fois, personne n’essayait de l’exploiter. Pourtant, une semaine après, une preuve de concept est apparue sur Internet et les attaques qui exploitaient CVE-2017-11882 ont débuté quelques jours plus tard.
En 2018, elle était devenue l’une des vulnérabilités de Microsoft Office les plus exploitées. En 2020, lors de la pandémie de Covid-19, la vulnérabilité CVE-2017-11882 a été activement utilisée pour envoyer des messages malveillants qui se servaient des retards de livraison causées par les restrictions sanitaires comme excuse.
Comment vous protéger
Évidemment, CVE-2017-11882 n’est pas la seule vulnérabilité utilisée pendant des années pour lancer des attaques. Ce n’est pas non plus la plus dangereuse. D’ailleurs, étonnamment, malgré sa popularité relative (on en a beaucoup parlé en 2017), la disponibilité de mises à jour et le lancement des nouvelles versions de MS Office, il semblerait que certaines personnes utilisent encore les versions vulnérables de cette suite bureautique.
Nous recommandons avant tout aux entreprises qui utilisent Microsoft Office de s’assurer qu’elles ont installé la version corrigée de la suite bureautique. Il est aussi conseillé de surveiller la sortie de nouveaux correctifs de sécurité et d’installer les mises à jour dès que possible. Les autres conseils sont assez basiques :
- Évitez d’avoir des privilèges d’administrateur lorsque vous travaillez avec des documents Office.
- N’ouvrez pas les documents envoyés par une personne inconnue ou reçus sans raison valable.
- Installez des solutions de sécurité qui peuvent empêcher l’exploitation des vulnérabilités.
Kaspersky Endpoint Security for Business détecte et bloque les tentatives d’exploitation des vulnérabilités connues, dont celle-ci, et encore inconnues.