Des pirates arrivent à infecter des PC via Word sans utiliser des macros, Réactions à la publication du 13/11/2017 |
Bienvenue invité ( Connexion | Inscription )
Des pirates arrivent à infecter des PC via Word sans utiliser des macros, Réactions à la publication du 13/11/2017 |
13 Nov 2017, 00:00
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 346 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Pendant des années, les macros de Microsoft Office ont été un moyen courant utilisé par des pirates pour infecter des ordinateurs. Il suffisait d'envoyer un fichier contenant ces macros par e-mail et de laisser l'utilisateur le lancer.
Depuis, les avertissements avant l'exécution d'une macro sont clairs et sur PC, les logiciels antivirus scrutent ces fichiers pour y détecter du code malveillant. Des pirates (ce serait le même groupe qui aurait infiltré le parti démocrate américain pendant les dernières élections présidentielles) ont toutefois réussi à infecter à distance des PC sans utiliser de macro. Ils ont pour cela utilisé une fonction d'Office appelée Dynamic Data Exchange. Cette fonction DDE permet de mettre à jour un fichier de manière croisée avec un autre. On sait depuis longtemps que cela pose de potentiels problèmes de sécurité, maintenant c'est fait. Les pirates envoient par e-mail un fichier qui passe les contrôles de sécurité, mais ensuite propose de se mettre jour à partir d'un autre fichier. C'est ce second fichier, laissé sur un serveur distant, qui contient le code malveillant et l'exécute SI ET SEULEMENT SI, l'utilisateur accepte de le faire en acceptant de valider deux alertes. Dans ce cas, un code distant va s'exécuter et permettre l'accès à la machine. Certes, une fois encore on se retrouve dans un cas où l'utilisateur est en partie fautif de ce qui lui arrive, mais cela fonctionnera sans problème sur les personnes peu impliquées dans la sécurité informatique et qui font une confiance aveugle aux logiciels destinés à les protéger. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
13 Nov 2017, 00:11
Message
#2
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 894 Inscrit : 29 Dec 2006 Lieu : Lyon Membre no 76 813 |
Certes, une fois encore on se retrouve dans un cas où l'utilisateur est en partie fautif de ce qui lui arrive, mais cela fonctionnera sans problème sur les personnes peu impliquées dans la sécurité informatique et qui font une confiance aveugle aux logiciels destinés à les protéger. Je ne connais pas trop les macros ni les documents croisés, mais dans le cas où le fichier est distant, cela implique d'ouvrir une connexion en utilisant une ip et un port non ?Lien vers le billet original Si le SI est correctement conçu, le pare-feu devrait rejeter ce genre de requête non ? Ce message a été modifié par Ze Clubbeur - 13 Nov 2017, 00:11. -------------------- L'ipod ne peut fonctionner qu'avec Itunes...
Itunes fonctionne bien mieux sous mac que sous windows... C'est pourquoi j'ai installé Mac OS sur mon pc... MacBook Pro 15" Intel Core i7 2.5GHz Mi 2015 MacBook Pro 15" Intel Core i7 2.3GHz Février 2011 (en pré-retraite) |
|
|
13 Nov 2017, 00:54
Message
#3
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 12 571 Inscrit : 25 Nov 2001 Membre no 1 397 |
J'imagine que c'est le même port qui est utilisé. De toute façon, il y a très très peu de personnes qui configurent le firewall pour bloquer toutes les requêtes entrantes et le firewall par défaut ne peut pas bloquer les requêtes sortantes.
Ce message a été modifié par zero - 13 Nov 2017, 00:55. |
|
|
13 Nov 2017, 07:44
Message
#4
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 380 Inscrit : 1 Apr 2004 Lieu : 74 Membre no 17 041 |
C'est triste et même désolant de constater que c'est encore l'utilisateur que l'on considère comme fautif, du moins en partie... En gros, c'est comme si des petits malins mettaient des clous sur certaines routes pour crever les pneus et qu'on dise ensuite «c'est un peu la faute du conducteur, il a pris la mauvaise route...».
-------------------- Apprentissage typo plomb en 1973 ;-) - PAO pro pendant 27 ans (début sur CRTronic 200) - Sur Mac depuis 1989 (Mac IIx jusqu'à PPC G5 2 x 2.3 Ghz) • Matériel perso: iMac Intel Core 2 Duo 20" - OS X 10.6.8 et El Capitan - CS2.3 - LiveBox Sagem • iMac DV 400 - OS 9.1 • iBook G3 Graphite - OS 9.2/10.2.8 • MacBook 13" OS 10.6.8 | Photo: Nikon D90 - 18-200 VR II - VR 105 Macro f:2.8 - Micro Nikkor 60 mm f:2.8 - Mon site mycologique
|
|
|
13 Nov 2017, 09:03
Message
#5
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 034 Inscrit : 16 Apr 2009 Membre no 134 671 |
C'est connu : Les Macros... ça puent !
|
|
|
13 Nov 2017, 09:32
Message
#6
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 238 Inscrit : 4 Jul 2002 Lieu : Le Mans Membre no 2 835 |
J'imagine que c'est le même port qui est utilisé. De toute façon, il y a très très peu de personnes qui configurent le firewall pour bloquer toutes les requêtes entrantes et le firewall par défaut ne peut pas bloquer les requêtes sortantes. Dans une entreprise, de toute façon ce n'est pas du ressort de l'utilisateur. Là où je travaille, les fichiers mis à jours à plusieurs dans des espace collaboratifs sont nécessaires (et légion). Et possiblement un risque. -------------------- " - chuis fatigué... T'es pas fatigué toi ?
- Je frise le coma" |
|
|
13 Nov 2017, 12:51
Message
#7
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 484 Inscrit : 21 Apr 2006 Membre no 59 799 |
Certes, une fois encore on se retrouve dans un cas où l'utilisateur est en partie fautif de ce qui lui arrive, mais cela fonctionnera sans problème sur les personnes peu impliquées dans la sécurité informatique et qui font une confiance aveugle aux logiciels destinés à les protéger. Je ne connais pas trop les macros ni les documents croisés, mais dans le cas où le fichier est distant, cela implique d'ouvrir une connexion en utilisant une ip et un port non ?Lien vers le billet original Si le SI est correctement conçu, le pare-feu devrait rejeter ce genre de requête non ? Le lien se fait via la "vielle" techno DDE qui permet de lier des documents. Ça permet par exemple d'insérer un document Excel dans un document Word. Si Excel est ouvert, alors Word pourra demander à Excel d'actualiser le cas échéant les données Excel qu'il "embarque". Et le lien vers le fichier externe peut être une URL, qui peut être bloquée, par exemple en bloquant le serveur via son fichier host. Notez que ça "marche" aussi avec Word pour Mac. Pour l'instant ça craint pas pour nous, car dans le cas qui nous intéresse, ça tente in fine d'exécuter des trucs compilés pour Windows... C'est connu : Les Macros... ça puent ! Le truc justement c'est que ça ne passe pas par des macros ! Un document Word sans macro associée peut donc être désormais "infecté" lui aussi. Désormais, plus aucun document Word ne peut être considéré comme fiable. Ce message a été modifié par marc_os - 13 Nov 2017, 12:59. -------------------- ----------------- --JE-------SUIS-- --AHMED-CHARLIE-- --CLARISSA-YOAV-- ----------------- |
|
|
13 Nov 2017, 14:26
Message
#8
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 384 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
C'est connu : Les Macros... ça puent ! Le truc justement c'est que ça ne passe pas par des macros ! Un document Word sans macro associée peut donc être désormais "infecté" lui aussi. Désormais, plus aucun document Word ne peut être considéré comme fiable. +1 oui. Mais fondamentalement c'est une erreur du contrôleur de clavier (celui basé sur du carbone, pas celui en silicium!) -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
13 Nov 2017, 14:34
Message
#9
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 894 Inscrit : 29 Dec 2006 Lieu : Lyon Membre no 76 813 |
Certes, une fois encore on se retrouve dans un cas où l'utilisateur est en partie fautif de ce qui lui arrive, mais cela fonctionnera sans problème sur les personnes peu impliquées dans la sécurité informatique et qui font une confiance aveugle aux logiciels destinés à les protéger. Je ne connais pas trop les macros ni les documents croisés, mais dans le cas où le fichier est distant, cela implique d'ouvrir une connexion en utilisant une ip et un port non ?Lien vers le billet original Si le SI est correctement conçu, le pare-feu devrait rejeter ce genre de requête non ? Le lien se fait via la "vielle" techno DDE qui permet de lier des documents. Ça permet par exemple d'insérer un document Excel dans un document Word. Si Excel est ouvert, alors Word pourra demander à Excel d'actualiser le cas échéant les données Excel qu'il "embarque". Et le lien vers le fichier externe peut être une URL, qui peut être bloquée, par exemple en bloquant le serveur via son fichier host. Je parlais de firewall dans le cas de machines dans un SI. Le pare-feu sur le routeur ou le proxy, si il est correctement configuré, devrait pouvoir bloquer ces requêtes si elles ne sont pas utiles. De fait, même si l'utilisateur clique sur le lien et que le port est bloqué, ça ne passera pas. Si le lien est une URL, comme tu le dis, ça peut être bloqué facilement en rejetant l'adresse. Après, pour ce qui est des ordinateurs personnels, c'est quand même bien plus rare d'avoir à utiliser des documents croisés juste pour le plaisir. -------------------- L'ipod ne peut fonctionner qu'avec Itunes...
Itunes fonctionne bien mieux sous mac que sous windows... C'est pourquoi j'ai installé Mac OS sur mon pc... MacBook Pro 15" Intel Core i7 2.5GHz Mi 2015 MacBook Pro 15" Intel Core i7 2.3GHz Février 2011 (en pré-retraite) |
|
|
13 Nov 2017, 15:32
Message
#10
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 384 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
... Je parlais de firewall dans le cas de machines dans un SI. Le pare-feu sur le routeur ou le proxy, si il est correctement configuré, devrait pouvoir bloquer ces requêtes si elles ne sont pas utiles. De fait, même si l'utilisateur clique sur le lien et que le port est bloqué, ça ne passera pas. Si le lien est une URL, comme tu le dis, ça peut être bloqué facilement en rejetant l'adresse. Après, pour ce qui est des ordinateurs personnels, c'est quand même bien plus rare d'avoir à utiliser des documents croisés juste pour le plaisir. Tu peux me donner une liste exhaustive des IP et noms d domaines à filtrer svp? -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
13 Nov 2017, 16:36
Message
#11
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 238 Inscrit : 4 Jul 2002 Lieu : Le Mans Membre no 2 835 |
Mais fondamentalement c'est une erreur du contrôleur de clavier (celui basé sur du carbone, pas celui en silicium!) Outre que cette tarte à la crème finit par exaspérer, encore une fois, dans un espace collaboratif, je ne vois pas bien en quoi ce serait le cas. Concrètement : qu'est-ce qui te permet de savoir si les 28 feuilles excel que tu consultes dans un powerpoint ne sont pas concernées ? (si j'ai bien compris). -------------------- " - chuis fatigué... T'es pas fatigué toi ?
- Je frise le coma" |
|
|
13 Nov 2017, 17:41
Message
#12
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 894 Inscrit : 29 Dec 2006 Lieu : Lyon Membre no 76 813 |
... Je parlais de firewall dans le cas de machines dans un SI. Le pare-feu sur le routeur ou le proxy, si il est correctement configuré, devrait pouvoir bloquer ces requêtes si elles ne sont pas utiles. De fait, même si l'utilisateur clique sur le lien et que le port est bloqué, ça ne passera pas. Si le lien est une URL, comme tu le dis, ça peut être bloqué facilement en rejetant l'adresse. Après, pour ce qui est des ordinateurs personnels, c'est quand même bien plus rare d'avoir à utiliser des documents croisés juste pour le plaisir. Tu peux me donner une liste exhaustive des IP et noms d domaines à filtrer svp? -------------------- L'ipod ne peut fonctionner qu'avec Itunes...
Itunes fonctionne bien mieux sous mac que sous windows... C'est pourquoi j'ai installé Mac OS sur mon pc... MacBook Pro 15" Intel Core i7 2.5GHz Mi 2015 MacBook Pro 15" Intel Core i7 2.3GHz Février 2011 (en pré-retraite) |
|
|
13 Nov 2017, 17:57
Message
#13
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 894 Inscrit : 29 Dec 2006 Lieu : Lyon Membre no 76 813 |
Mais fondamentalement c'est une erreur du contrôleur de clavier (celui basé sur du carbone, pas celui en silicium!) Outre que cette tarte à la crème finit par exaspérer, encore une fois, dans un espace collaboratif, je ne vois pas bien en quoi ce serait le cas. Concrètement : qu'est-ce qui te permet de savoir si les 28 feuilles excel que tu consultes dans un powerpoint ne sont pas concernées ? (si j'ai bien compris). Dans un SI, on ne peut pas demander à l'utilisateur lambda de faire le boulot du responsable de la sécurité info. C'est au système d'information à s'adapter et prendre en compte la totalité des problèmes de sécurité qu'il pourrait rencontrer (même si, comme chacun sait, à moins de débrancher le câble réseau...). Le responsable du SI doit : - Mettre en place les moyens nécessaires pour sécuriser au maximum son système informatique. - Mettre en place toute la documentation nécessaire à la sensibilisation aux risques informatiques (formations, plaquettes...). - Doit avertir sa hiérarchie des risques encourus si les corrections ne sont pas effectuées et prendre les mesures nécessaires pour se prémunir en cas d'attaque car, si la société subit des préjudices, c'est lui qui trinquera. Ce sont les règles de base (pour ne pas dire les seules) que doit suivre le DSI en matière de sécurité informatique. -------------------- L'ipod ne peut fonctionner qu'avec Itunes...
Itunes fonctionne bien mieux sous mac que sous windows... C'est pourquoi j'ai installé Mac OS sur mon pc... MacBook Pro 15" Intel Core i7 2.5GHz Mi 2015 MacBook Pro 15" Intel Core i7 2.3GHz Février 2011 (en pré-retraite) |
|
|
Guest_dtb06_* |
13 Nov 2017, 21:08
Message
#14
|
Guests |
DDE existait dans Office 95, je crois même dans Word6/Excel5. Ca servait à faire communiquer les différents logiciels d'Office entre eux. Après c'est sûr que s'il reste des fragments de code pour communiquer avec IE, ça risque de poser problème au vu de la maintenance de IE.
|
|
|
14 Nov 2017, 14:21
Message
#15
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 384 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
... Je parlais de firewall dans le cas de machines dans un SI. Le pare-feu sur le routeur ou le proxy, si il est correctement configuré, devrait pouvoir bloquer ces requêtes si elles ne sont pas utiles. De fait, même si l'utilisateur clique sur le lien et que le port est bloqué, ça ne passera pas. Si le lien est une URL, comme tu le dis, ça peut être bloqué facilement en rejetant l'adresse. Après, pour ce qui est des ordinateurs personnels, c'est quand même bien plus rare d'avoir à utiliser des documents croisés juste pour le plaisir. Tu peux me donner une liste exhaustive des IP et noms d domaines à filtrer svp? Ben justement, je sais que c'est totalement impossible en pratique, surtout avec la joyeuse habitude qu'ont des hackers de prendre position sur des sites connus et reconnus pour y mettre leur malware. Dernier cas ce mois-ci avec la découverte qu'on pouvait stocker ce qu'on voulait sur le site web de la FCC aux USA, via le système de commentaire avec upload de fichier, et réaliser un lien vers celui-ci. Va prévoir, à l'avance, de filtrer un site gouvernemental, qui plus est en https avec un certificat en béton? Il est totalement impossible de filtrer efficacement. Oublie l'idée! PS: ils ont encore des problèmes de sécurité, pour moi, car ils n'ont visiblement pas de pro pour les aider: on ne signe pas servicedev.fcc.gov avec le même certificat, ça veut dire que les certificats se baladent partout et qu'en cas d'erreur humaine, de bug ou d'attaque sur leur "servicedev", c'est exploitable plus facilement. La bonne procédure consiste, pour une organisation de cette taille à avoir son propre certificat racine, à l'intégrer dans les posts clients, et à générer ses propres certificats pour les sites "internes", mais à ne surtout pas mettre le certificat du site public partout. Ils ont d'autres failles, inacceptable à ce niveau de jeu, c'est presque une invitation, et j'ai juste utilisé Chrome sans aucune extension... En bonus ça simplifie le travail des hackers d'avoir la liste des sites à essayer dans le certificat Ce message a été modifié par iAPX - 14 Nov 2017, 19:44. -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
Nous sommes le : 26th April 2024 - 22:01 |