Un bug de PowerPoint ouvre la porte aux attaques Mouse-Over

Un chercheur tire la sonnette d’alarme sur ce qu’il pense être un nouveau vecteur d’attaque qui permet à un pirate de manipuler un fichier PowerPoint pour télécharger et commencer l’installation de logiciels malveillants, simplement en survolant un lien hypertexte.

La technique nécessite qu’une victime accepte une boîte de dialogue contextuelle pour exécuter ou installer un programme. Pour ces raisons, Microsoft ne considère pas cela comme une vulnérabilité. Mandar Satam, chercheur indépendant en sécurité, n’est pas d’accord.

“L’attaque est capable de contourner la restriction de PowerPoint de ne pas pouvoir ajouter un fichier distant à l’action HyperLink, si nous essayons d’ajouter un fichier en utilisant l’interface graphique, nous ne pouvons pas”, a déclaré Satam. Il a ajouté que le texte de la boîte de dialogue contenant le nom du fichier peut être manipulé pour afficher n’importe quoi, y compris “Windows Update.bat” ou “Chargement .. Veuillez patienter.exe”.

Satam, qui a créé une preuve de concept en utilisant la technique, a déclaré que la «faiblesse» se trouve dans les fichiers Open XML Slide Show de PowerPoint, appelés PPSX. Ces types de fichiers PowerPoint sont conçus pour la lecture de présentations uniquement et ne peuvent pas être modifiés.

powerpoint

«Dans PowerPoint, il est possible de définir une action en survolant avec la souris», a-t-il déclaré. Dans son attaque PoC, surnommée «Hover with Power», Satam contourne les précédentes restrictions PowerPoint mises en œuvre par Microsoft en 2017, pour empêcher les liens malveillants dans PowerPoint d’installer des programmes exécutables locaux simplement en survolant un lien hypertexte.

«Depuis que cette vulnérabilité a été corrigée, celle-ci en est une extension où au lieu d’utiliser l’action “Exécuter le programme”, nous utilisons l’action “HyperLink To” et la définissons dans un “autre fichier”», a écrit le chercheur dans une présentation technique de sa recherche.

En remplaçant «Run Program» par «HyperLink To», la preuve de concept exécute le fichier exécutable à partir d’un serveur distant «un serveur Web contrôlé par un pirate avec des extensions Web Distributed Server (WebDAV)». Ce type de serveur permet l’édition et la lecture de contenu à distance.

«En raison du fonctionnement des connexions SMB dans Windows 10, les connexions SMB sur Internet sont possibles même si les ports SMB (445/139) sont fermés, si un serveur Web prenant en charge l’extension WebDAV est hébergé par un attaquant», a écrit le chercheur.

Le protocole SMB (Windows Server Message Block) permet le partage de fichiers, de navigation réseau, de services d’impression et la communication inter-processus sur un réseau. Dans le contexte de la preuve de concept de Satam, il contourne la dépendance d’une requête HTTPS qui alerterait probablement l’utilisateur d’une activité malveillante.

«Si une URL HTTP/HTTPS est liée à l’action de lien hypertexte (PowerPoint), le système d’exploitation télécharge le fichier à l’aide d’un navigateur sur le système, moment où Windows Defender/Smartscreen se déclencherait, indiquant qu’il s’agit d’un fichier non fiable; et même si nous cliquons “Exécuter”, cela mettra le fichier en quarantaine “, a écrit le chercheur.

Microsoft ne reconnait pas cela comme une faille de PowerPoint

Parce que l’attaque Hover with Power ne déclenche qu’une seule boîte de dialogue contextuelle – qui peut être manipulée par l’attaquant – le chercheur considère cela comme une vulnérabilité. Cependant, lorsqu’il a contacté le Microsoft Security Response Center (MSRC) le 2 Avril, on lui a dit que son enquête serait «close» car l’attaque nécessite un élément d’ingénierie sociale.

“Malheureusement, votre rapport semble s’appuyer sur l’ingénierie sociale pour s’accomplir, ce qui ne respecte pas les critères pour les services de sécurité … En tant que tel, ce fil est fermé et n’est plus surveillé”, a écrit MSRC au chercheur.

Ci-dessous, une animation de la preuve de concept «Hover with Power» en action:

powerpoint

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x