XMCO : Le vulnérabilité 0-day touche l’ensemble des versions d’Excel
février 2009 par XMCO PARTNERS
Vulnerability in Microsoft Office Excel Could Allow Remote Code Execution
– Date : 25 Fevrier 2009
– Plateformes :
* Mac OS X
* Windows
– Programme : Excel
– Gravité : Urgente
– Exploitation : Avec un fichier malicieux
– Dommage : Accès au système
– Description :
De nouvelles informations ont été apportées à propos de la vulnérabilité 0-day affectant le tableur Excel. L’intégralité des versions d’Excel seraient vulnérables.
Pour le moment, l’exploitation se limite à la diffusion d’un fichier Excel (XLS) malicieux. Lors de l’ouverture du fichier malicieux, un crash de l’application permet d’exécuter un code malicieux avec les privilèges de l’utilisateur. Deux fichiers sont téléchargés et ouverts sur le poste vulnérable : un cheval de Troie (Trojan.Mdropper.AC) et un fichier Excel anodin.
Le fait d’ouvrir le second fichier Excel (qui lui ne comporte pas de code malveillant) permet d’éviter que l’utilisateur suspecte une activité malicieuse.
Il est à prendre en compte que seuls les fichiers XLS sont vulnérables. L’ouverture de fichiers XLSX n’est donc pas sujette à cette attaque.
– Vulnérable :
* Microsoft Office Excel 2000 SP3
* Microsoft Office Excel 2002 SP3
* Microsoft Office Excel 2003 SP3
* Microsoft Office Excel 2007 SP1
* Microsoft Office Excel Viewer 2003
* Microsoft Office Excel Viewer 2003 SP3
* Microsoft Office Excel Viewer
* Microsoft Office Compatibility Pack SP1
* Microsoft Office 2004 pour systèmes Mac
* Microsoft Office 2008 pour systèmes Mac
– Référence :
http://www.microsoft.com/technet/security/advisory/968272.mspx
https://forums.symantec.com/t5/Vulnerabilities-Exploits/Excel-Exploited/ba-p/391551
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0238
– Correction :
Aucun correctif n’est disponible pour le moment.
En attendant, nous vous recommandons de bloquer les adresses IP des serveurs web hébergeant le cheval de Troie téléchargé à partir du fichier Excel :
– 61.59.24.55
– 61.59.24.45
– 61.221.40.63
Pour les systèmes Office 2003 et plus récents, il est recommandé d’utiliser l’outil de conversion MOICE (Microsoft Office Isolated Conversion Environment) convertissant les fichiers Office en supprimant tout contenu susceptible d’être malicieux.
De plus, il est recommandé d’activer la mesure FileBlock pour les versions d’Office 2003 et plus récentes. Cette fonctionnalité permet de restreindre les manipulations des fichiers Office à certains types. Chaque type est associé à une "politique de groupe" (utilisateurs, droits...) dans la base de registres.
– Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1235555089