Microsoft Office MSGraph: une faille pourrait conduire à l’exécution de code

0

Microsoft a publié un correctif pour une vulnérabilité affectant le composant Microsoft Office MSGraph, responsable de l’affichage des graphiques, qui pourrait être exploitée pour exécuter du code sur une machine cible.

Étant donné que le composant peut être incorporé dans la plupart des documents Office, un attaquant peut l’utiliser pour fournir une charge utile malveillante sans avoir besoin de fonctions spéciales.

Code legacy de Microsoft Office MSGraph

Traquée sous le nom CVE-2021-31939, la faille de sécurité fait partie d’un ensemble plus large de vulnérabilités de sécurité que les chercheurs de Check Point ont découvertes dans MSGraph et signalées à Microsoft.

La raison pour laquelle les chercheurs se sont concentrés sur le test de MSGraph pour les failles de sécurité est qu’il contient du code qui a au moins 17 ans et a une surface d’attaque similaire à Microsoft Equation Editor, où les bogues corrigés en 2017 continuent d’être fortement exploités à ce jour.

Microsoft Office MSGraph
Éditeur MSGraph intégré dans un document Microsoft Excel

Les détails sur la vulnérabilité manquent à ce stade, car la faille n’a reçu un identifiant que récemment. Cependant, Check Point note dans un rapport que CVE-2021-31939 est une faille use-after-free.

Ce type de faille consiste en une mauvaise utilisation de la mémoire dynamique lors du fonctionnement du programme et peut conduire à l’exécution de code arbitraire sur le système.

Selon les chercheurs, le problème réside dans une fonction d’analyse de fichier MSGraph, qui « est couramment utilisée dans plusieurs produits Microsoft Office différents, tels qu’Excel (EXCEL.EXE), Office Online Server (EXCELCNV.EXE) et Excel pour OSX ».

La divulgation publique de Check Point inclut trois autres failles de sécurité découvertes dans le composant Microsoft Office MSGraph, toutes corrigées le mois dernier :

  • CVE-2021-31174 – vulnérabilité de lecture hors limites entraînant la divulgation d’informations dans Microsoft Excel (gravité moyenne) ; affecte MSGraph, Office Online et Microsoft Excel
  • CVE-2021-31178 – vulnérabilité de débordement d’entier à lecture hors limites conduisant à la divulgation d’informations (gravité moyenne)
  • CVE-2021-31179 – vulnérabilité de corruption de mémoire conduisant à l’exécution de code à distance (gravité élevée)

Toutes les failles ont été découvertes grâce au fuzzing, une technique de test où le code est bombardé de diverses entrées pour trouver les erreurs et les failles de sécurité. Les exceptions générées de cette manière incluent les plantages et les fuites de mémoire pouvant conduire à une exploitation.

Les chercheurs affirment que les quatre vulnérabilités peuvent être intégrées dans la plupart des documents Office, laissant la place à plusieurs scénarios d’attaque, la vulnérabilité étant déclenchée une fois que la victime ouvre un fichier Office malveillant.

« Si elles étaient exploitées, les vulnérabilités donneraient à un attaquant la possibilité d’exécuter du code malveillant sur des cibles via des documents Office spécialement conçus », a déclaré Check Point.

« Étant donné que l’ensemble de la suite Office a la capacité d’intégrer des objets Excel, cela élargit le vecteur d’attaque, permettant d’exécuter une telle attaque sur presque tous les logiciels Office, y compris Word, Outlook et autres »

– Check Point

Check Point a signalé les vulnérabilités à Microsoft le 28 février et trois d’entre elles ont été corrigées le mois dernier. CVE-2021-31939 a reçu son identifiant de suivi à une date ultérieure et devait recevoir un correctif récemment.

Laisser un commentaire