IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Des pirates arrivent à infecter des PC via Word sans utiliser des macros, Réactions à la publication du 13/11/2017
Options
Lionel
posté 13 Nov 2017, 00:00
Message #1


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 50 250
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Pendant des années, les macros de Microsoft Office ont été un moyen courant utilisé par des pirates pour infecter des ordinateurs. Il suffisait d'envoyer un fichier contenant ces macros par e-mail et de laisser l'utilisateur le lancer.
Depuis, les avertissements avant l'exécution d'une macro sont clairs et sur PC, les logiciels antivirus scrutent ces fichiers pour y détecter du code malveillant.

Des pirates (ce serait le même groupe qui aurait infiltré le parti démocrate américain pendant les dernières élections présidentielles) ont toutefois réussi à infecter à distance des PC sans utiliser de macro. Ils ont pour cela utilisé une fonction d'Office appelée Dynamic Data Exchange. Cette fonction DDE permet de mettre à jour un fichier de manière croisée avec un autre. On sait depuis longtemps que cela pose de potentiels problèmes de sécurité, maintenant c'est fait.

Les pirates envoient par e-mail un fichier qui passe les contrôles de sécurité, mais ensuite propose de se mettre jour à partir d'un autre fichier.
C'est ce second fichier, laissé sur un serveur distant, qui contient le code malveillant et l'exécute SI ET SEULEMENT SI, l'utilisateur accepte de le faire en acceptant de valider deux alertes.

Dans ce cas, un code distant va s'exécuter et permettre l'accès à la machine.

Certes, une fois encore on se retrouve dans un cas où l'utilisateur est en partie fautif de ce qui lui arrive, mais cela fonctionnera sans problème sur les personnes peu impliquées dans la sécurité informatique et qui font une confiance aveugle aux logiciels destinés à les protéger.

Lien vers le billet original



--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
Ze Clubbeur
posté 13 Nov 2017, 00:11
Message #2


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 407
Inscrit : 29 Dec 2006
Lieu : Lyon
Membre no 76 813



Citation (Lionel @ 13 Nov 2017, 01:00) *
Certes, une fois encore on se retrouve dans un cas où l'utilisateur est en partie fautif de ce qui lui arrive, mais cela fonctionnera sans problème sur les personnes peu impliquées dans la sécurité informatique et qui font une confiance aveugle aux logiciels destinés à les protéger.

Lien vers le billet original
Je ne connais pas trop les macros ni les documents croisés, mais dans le cas où le fichier est distant, cela implique d'ouvrir une connexion en utilisant une ip et un port non ?
Si le SI est correctement conçu, le pare-feu devrait rejeter ce genre de requête non ?

Ce message a été modifié par Ze Clubbeur - 13 Nov 2017, 00:11.


--------------------
L'ipod ne peut fonctionner qu'avec Itunes...
Itunes fonctionne bien mieux sous mac que sous windows...
C'est pourquoi j'ai installé Mac OS sur mon pc...

MacBook Pro Intel Core i7 2.3GHz Février 2011
Go to the top of the page
 
+Quote Post
zero
posté 13 Nov 2017, 00:54
Message #3


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 10 729
Inscrit : 25 Nov 2001
Membre no 1 397



J'imagine que c'est le même port qui est utilisé. De toute façon, il y a très très peu de personnes qui configurent le firewall pour bloquer toutes les requêtes entrantes et le firewall par défaut ne peut pas bloquer les requêtes sortantes.

Ce message a été modifié par zero - 13 Nov 2017, 00:55.
Go to the top of the page
 
+Quote Post
castor74
posté 13 Nov 2017, 07:44
Message #4


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 389
Inscrit : 1 Apr 2004
Lieu : 74
Membre no 17 041



C'est triste et même désolant de constater que c'est encore l'utilisateur que l'on considère comme fautif, du moins en partie... En gros, c'est comme si des petits malins mettaient des clous sur certaines routes pour crever les pneus et qu'on dise ensuite «c'est un peu la faute du conducteur, il a pris la mauvaise route...». mad.gif


--------------------
Apprentissage typo plomb en 1973 ;-) - PAO pro pendant 27 ans (début sur CRTronic 200) - Sur Mac depuis 1989 (Mac IIx jusqu'à PPC G5 2 x 2.3 Ghz) • Matériel perso: iMac Intel Core Duo 20" - OS X 10.6.8 - CS2.3 - LiveBox Sagem - 20 Mega • iMac DV 400 - OS 9.1 • iBook G3 Graphite - OS 9.2/10.2.8 • MacBook 13" OS 10.5.8 | Photo: Fuji FinePix S9500 - Nikon D90 - 18-200 VR II - VR 105 Macro f:2.8 - Micro Nikkor 60 mm f:2.8 - Mon site mycologique
Go to the top of the page
 
+Quote Post
BdeHOGUES
posté 13 Nov 2017, 09:03
Message #5


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 908
Inscrit : 16 Apr 2009
Membre no 134 671



C'est connu : Les Macros... ça puent !
Go to the top of the page
 
+Quote Post
malhomme
posté 13 Nov 2017, 09:32
Message #6


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 068
Inscrit : 4 Jul 2002
Lieu : Le Mans
Membre no 2 835



Citation (zero @ 13 Nov 2017, 01:54) *
J'imagine que c'est le même port qui est utilisé. De toute façon, il y a très très peu de personnes qui configurent le firewall pour bloquer toutes les requêtes entrantes et le firewall par défaut ne peut pas bloquer les requêtes sortantes.


Dans une entreprise, de toute façon ce n'est pas du ressort de l'utilisateur.
Là où je travaille, les fichiers mis à jours à plusieurs dans des espace collaboratifs sont nécessaires (et légion). Et possiblement un risque.


--------------------
" - chuis fatigué... T'es pas fatigué toi ?
- Je frise le coma"
Go to the top of the page
 
+Quote Post
marc_os
posté 13 Nov 2017, 12:51
Message #7


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 5 734
Inscrit : 21 Apr 2006
Membre no 59 799



Citation (Ze Clubbeur @ 13 Nov 2017, 00:11) *
Citation (Lionel @ 13 Nov 2017, 01:00) *
Certes, une fois encore on se retrouve dans un cas où l'utilisateur est en partie fautif de ce qui lui arrive, mais cela fonctionnera sans problème sur les personnes peu impliquées dans la sécurité informatique et qui font une confiance aveugle aux logiciels destinés à les protéger.

Lien vers le billet original
Je ne connais pas trop les macros ni les documents croisés, mais dans le cas où le fichier est distant, cela implique d'ouvrir une connexion en utilisant une ip et un port non ?
Si le SI est correctement conçu, le pare-feu devrait rejeter ce genre de requête non ?

Le lien se fait via la "vielle" techno DDE qui permet de lier des documents.
Ça permet par exemple d'insérer un document Excel dans un document Word.
Si Excel est ouvert, alors Word pourra demander à Excel d'actualiser le cas échéant les données Excel qu'il "embarque".
Et le lien vers le fichier externe peut être une URL, qui peut être bloquée, par exemple en bloquant le serveur via son fichier host.

Notez que ça "marche" aussi avec Word pour Mac. Pour l'instant ça craint pas pour nous, car dans le cas qui nous intéresse, ça tente in fine d'exécuter des trucs compilés pour Windows...

Citation (BdeHOGUES @ 13 Nov 2017, 09:03) *
C'est connu : Les Macros... ça puent !

Le truc justement c'est que ça ne passe pas par des macros !
Un document Word sans macro associée peut donc être désormais "infecté" lui aussi.
Désormais, plus aucun document Word ne peut être considéré comme fiable.

Ce message a été modifié par marc_os - 13 Nov 2017, 12:59.


--------------------
-----------------
--JE-------SUIS--
--AHMED-CHARLIE--
--CLARISSA-YOAV--
-----------------
Go to the top of the page
 
+Quote Post
iAPX
posté 13 Nov 2017, 14:26
Message #8


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 7 314
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (marc_os @ 13 Nov 2017, 07:51) *
Citation (BdeHOGUES @ 13 Nov 2017, 09:03) *
C'est connu : Les Macros... ça puent !

Le truc justement c'est que ça ne passe pas par des macros !
Un document Word sans macro associée peut donc être désormais "infecté" lui aussi.
Désormais, plus aucun document Word ne peut être considéré comme fiable.

+1 oui.

Mais fondamentalement c'est une erreur du contrôleur de clavier (celui basé sur du carbone, pas celui en silicium!) wink.gif


--------------------
Un Mac obsolète, un iPhone qui suit la même voie.
Portraitiste et amateur de garde-temps, avec un coté Dorian Gray.
Go to the top of the page
 
+Quote Post
Ze Clubbeur
posté 13 Nov 2017, 14:34
Message #9


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 407
Inscrit : 29 Dec 2006
Lieu : Lyon
Membre no 76 813



Citation (marc_os @ 13 Nov 2017, 13:51) *
Citation (Ze Clubbeur @ 13 Nov 2017, 00:11) *
Citation (Lionel @ 13 Nov 2017, 01:00) *
Certes, une fois encore on se retrouve dans un cas où l'utilisateur est en partie fautif de ce qui lui arrive, mais cela fonctionnera sans problème sur les personnes peu impliquées dans la sécurité informatique et qui font une confiance aveugle aux logiciels destinés à les protéger.

Lien vers le billet original
Je ne connais pas trop les macros ni les documents croisés, mais dans le cas où le fichier est distant, cela implique d'ouvrir une connexion en utilisant une ip et un port non ?
Si le SI est correctement conçu, le pare-feu devrait rejeter ce genre de requête non ?

Le lien se fait via la "vielle" techno DDE qui permet de lier des documents.
Ça permet par exemple d'insérer un document Excel dans un document Word.
Si Excel est ouvert, alors Word pourra demander à Excel d'actualiser le cas échéant les données Excel qu'il "embarque".
Et le lien vers le fichier externe peut être une URL, qui peut être bloquée, par exemple en bloquant le serveur via son fichier host.
Oui, j'avais compris que c'était avec DDE. Mais cette techno est au minimum basée sur une ip (et un port) pour fonctionner, je pense. Dans mon souvenir, sur un réseau local, pour utiliser les documents croisés, il fallait utiliser le nom de la machine si on devait travailler sur des fichiers présents sur un réseau local (enfin, on naviguait vers le dossier partagé et on sélectionnait le fichier). Et qui dit nom de la machine dit IP et port (pour le protocole utilisé).

Je parlais de firewall dans le cas de machines dans un SI. Le pare-feu sur le routeur ou le proxy, si il est correctement configuré, devrait pouvoir bloquer ces requêtes si elles ne sont pas utiles. De fait, même si l'utilisateur clique sur le lien et que le port est bloqué, ça ne passera pas. Si le lien est une URL, comme tu le dis, ça peut être bloqué facilement en rejetant l'adresse.

Après, pour ce qui est des ordinateurs personnels, c'est quand même bien plus rare d'avoir à utiliser des documents croisés juste pour le plaisir.


--------------------
L'ipod ne peut fonctionner qu'avec Itunes...
Itunes fonctionne bien mieux sous mac que sous windows...
C'est pourquoi j'ai installé Mac OS sur mon pc...

MacBook Pro Intel Core i7 2.3GHz Février 2011
Go to the top of the page
 
+Quote Post
iAPX
posté 13 Nov 2017, 15:32
Message #10


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 7 314
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (Ze Clubbeur @ 13 Nov 2017, 09:34) *
...
Je parlais de firewall dans le cas de machines dans un SI. Le pare-feu sur le routeur ou le proxy, si il est correctement configuré, devrait pouvoir bloquer ces requêtes si elles ne sont pas utiles. De fait, même si l'utilisateur clique sur le lien et que le port est bloqué, ça ne passera pas. Si le lien est une URL, comme tu le dis, ça peut être bloqué facilement en rejetant l'adresse.

Après, pour ce qui est des ordinateurs personnels, c'est quand même bien plus rare d'avoir à utiliser des documents croisés juste pour le plaisir.

Tu peux me donner une liste exhaustive des IP et noms d domaines à filtrer svp? laugh.gif


--------------------
Un Mac obsolète, un iPhone qui suit la même voie.
Portraitiste et amateur de garde-temps, avec un coté Dorian Gray.
Go to the top of the page
 
+Quote Post
malhomme
posté 13 Nov 2017, 16:36
Message #11


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 068
Inscrit : 4 Jul 2002
Lieu : Le Mans
Membre no 2 835



Citation (iAPX @ 13 Nov 2017, 14:26) *
Mais fondamentalement c'est une erreur du contrôleur de clavier (celui basé sur du carbone, pas celui en silicium!) wink.gif


Outre que cette tarte à la crème finit par exaspérer, encore une fois, dans un espace collaboratif, je ne vois pas bien en quoi ce serait le cas.

Concrètement : qu'est-ce qui te permet de savoir si les 28 feuilles excel que tu consultes dans un powerpoint ne sont pas concernées ?
(si j'ai bien compris).


--------------------
" - chuis fatigué... T'es pas fatigué toi ?
- Je frise le coma"
Go to the top of the page
 
+Quote Post
Ze Clubbeur
posté 13 Nov 2017, 17:41
Message #12


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 407
Inscrit : 29 Dec 2006
Lieu : Lyon
Membre no 76 813



Citation (iAPX @ 13 Nov 2017, 16:32) *
Citation (Ze Clubbeur @ 13 Nov 2017, 09:34) *
...
Je parlais de firewall dans le cas de machines dans un SI. Le pare-feu sur le routeur ou le proxy, si il est correctement configuré, devrait pouvoir bloquer ces requêtes si elles ne sont pas utiles. De fait, même si l'utilisateur clique sur le lien et que le port est bloqué, ça ne passera pas. Si le lien est une URL, comme tu le dis, ça peut être bloqué facilement en rejetant l'adresse.

Après, pour ce qui est des ordinateurs personnels, c'est quand même bien plus rare d'avoir à utiliser des documents croisés juste pour le plaisir.

Tu peux me donner une liste exhaustive des IP et noms d domaines à filtrer svp? laugh.gif
Tu n'es pas idiot, tu sais très bien qu'on peut mettre en place un filtrage efficace. Toi qui est censé être capable d'utiliser plusieurs serveurs pour crypter un trafic, mettre en place un filtrage extrêmement restrictif où seulement ce qui est nécessaire soit accessible est quand même loin d'être difficile à faire...


--------------------
L'ipod ne peut fonctionner qu'avec Itunes...
Itunes fonctionne bien mieux sous mac que sous windows...
C'est pourquoi j'ai installé Mac OS sur mon pc...

MacBook Pro Intel Core i7 2.3GHz Février 2011
Go to the top of the page
 
+Quote Post
Ze Clubbeur
posté 13 Nov 2017, 17:57
Message #13


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 407
Inscrit : 29 Dec 2006
Lieu : Lyon
Membre no 76 813



Citation (malhomme @ 13 Nov 2017, 17:36) *
Citation (iAPX @ 13 Nov 2017, 14:26) *
Mais fondamentalement c'est une erreur du contrôleur de clavier (celui basé sur du carbone, pas celui en silicium!) wink.gif


Outre que cette tarte à la crème finit par exaspérer, encore une fois, dans un espace collaboratif, je ne vois pas bien en quoi ce serait le cas.

Concrètement : qu'est-ce qui te permet de savoir si les 28 feuilles excel que tu consultes dans un powerpoint ne sont pas concernées ?
(si j'ai bien compris).
Tout à fait. Dans "contrôleur", il y a "con" et bien souvent, ça résume très bien l'utilisateur de base qui est devant son clavier, dont on aura beau lui dire de faire attention à ce qu'il télécharge, à ses pièces jointes et autres mises à jours flash, n'aura de cesse de faire la gaffe qui plantera au mieux seulement son ordi.
Dans un SI, on ne peut pas demander à l'utilisateur lambda de faire le boulot du responsable de la sécurité info. C'est au système d'information à s'adapter et prendre en compte la totalité des problèmes de sécurité qu'il pourrait rencontrer (même si, comme chacun sait, à moins de débrancher le câble réseau...).
Le responsable du SI doit :
- Mettre en place les moyens nécessaires pour sécuriser au maximum son système informatique.
- Mettre en place toute la documentation nécessaire à la sensibilisation aux risques informatiques (formations, plaquettes...).
- Doit avertir sa hiérarchie des risques encourus si les corrections ne sont pas effectuées et prendre les mesures nécessaires pour se prémunir en cas d'attaque car, si la société subit des préjudices, c'est lui qui trinquera.
Ce sont les règles de base (pour ne pas dire les seules) que doit suivre le DSI en matière de sécurité informatique.


--------------------
L'ipod ne peut fonctionner qu'avec Itunes...
Itunes fonctionne bien mieux sous mac que sous windows...
C'est pourquoi j'ai installé Mac OS sur mon pc...

MacBook Pro Intel Core i7 2.3GHz Février 2011
Go to the top of the page
 
+Quote Post
dtb06
posté 13 Nov 2017, 21:08
Message #14


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 759
Inscrit : 12 Jul 2011
Membre no 168 764



DDE existait dans Office 95, je crois même dans Word6/Excel5. Ca servait à faire communiquer les différents logiciels d'Office entre eux. Après c'est sûr que s'il reste des fragments de code pour communiquer avec IE, ça risque de poser problème au vu de la maintenance de IE.


--------------------
PC Core i7 6700K@4GHz Radeon 390X, RAM 32Go@2133MHz, SSD 950PRO NVMe M.2 256Go + SSD BX200 960Go SATA3. Win10.
PC Media Center Core2Quad@2,33GHz RAM 8Go, DD 2To. Linux XBMC
MacBookPro "Mi-2009" Core2Duo@2,26GhHz 9400m, RAM 8Go, SSD 950EVO 1To + Momentus XT 500Go. OSX Snow Leopard / El Capitan (dual boot)
PC/Hackintosh AMD 3800+X2@2,0GHz 9600GT, RAM 2Go, SSD 64Go,WD Velociraptor. WinXP/OSX Leopard/OSX Snow Leopard/Linux XBMC donné
Powerbook "Firewire" G3@400MHz RAM 1Go, DD 40Go, carte AirPort. OSX Tiger
PowerMac "Quicksilver" G4@733MHz RAM 1,25Go, DD 40Go+DD 200Go, carte AirPort. MacOS9.2.2/OSX Tiger
Go to the top of the page
 
+Quote Post
iAPX
posté 14 Nov 2017, 14:21
Message #15


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 7 314
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (Ze Clubbeur @ 13 Nov 2017, 12:41) *
Citation (iAPX @ 13 Nov 2017, 16:32) *
Citation (Ze Clubbeur @ 13 Nov 2017, 09:34) *
...
Je parlais de firewall dans le cas de machines dans un SI. Le pare-feu sur le routeur ou le proxy, si il est correctement configuré, devrait pouvoir bloquer ces requêtes si elles ne sont pas utiles. De fait, même si l'utilisateur clique sur le lien et que le port est bloqué, ça ne passera pas. Si le lien est une URL, comme tu le dis, ça peut être bloqué facilement en rejetant l'adresse.

Après, pour ce qui est des ordinateurs personnels, c'est quand même bien plus rare d'avoir à utiliser des documents croisés juste pour le plaisir.

Tu peux me donner une liste exhaustive des IP et noms d domaines à filtrer svp? laugh.gif
Tu n'es pas idiot, tu sais très bien qu'on peut mettre en place un filtrage efficace. Toi qui est censé être capable d'utiliser plusieurs serveurs pour crypter un trafic, mettre en place un filtrage extrêmement restrictif où seulement ce qui est nécessaire soit accessible est quand même loin d'être difficile à faire...

Ben justement, je sais que c'est totalement impossible en pratique, surtout avec la joyeuse habitude qu'ont des hackers de prendre position sur des sites connus et reconnus pour y mettre leur malware.

Dernier cas ce mois-ci avec la découverte qu'on pouvait stocker ce qu'on voulait sur le site web de la FCC aux USA, via le système de commentaire avec upload de fichier, et réaliser un lien vers celui-ci.
Va prévoir, à l'avance, de filtrer un site gouvernemental, qui plus est en https avec un certificat en béton? smile.gif

Il est totalement impossible de filtrer efficacement. Oublie l'idée!

PS: ils ont encore des problèmes de sécurité, pour moi, car ils n'ont visiblement pas de pro pour les aider: on ne signe pas servicedev.fcc.gov avec le même certificat, ça veut dire que les certificats se baladent partout et qu'en cas d'erreur humaine, de bug ou d'attaque sur leur "servicedev", c'est exploitable plus facilement.
La bonne procédure consiste, pour une organisation de cette taille à avoir son propre certificat racine, à l'intégrer dans les posts clients, et à générer ses propres certificats pour les sites "internes", mais à ne surtout pas mettre le certificat du site public partout.

Ils ont d'autres failles, inacceptable à ce niveau de jeu, c'est presque une invitation, et j'ai juste utilisé Chrome sans aucune extension...

En bonus ça simplifie le travail des hackers d'avoir la liste des sites à essayer dans le certificat tongue.gif

Ce message a été modifié par iAPX - 14 Nov 2017, 19:44.


--------------------
Un Mac obsolète, un iPhone qui suit la même voie.
Portraitiste et amateur de garde-temps, avec un coté Dorian Gray.
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 24th November 2017 - 04:54