Des pirates russes exploitent une faille critique de Microsoft Office pour mener des opérations d’espionnage sur Windows. En s’appuyant sur de simples documents Word piégés envoyés par e‑mail, ils parviennent à voler des documents sensibles relatifs à la guerre en Ukraine. Cette brèche permet de contourner les protections intégrées par Microsoft et de prendre le contrôle à distance d’un ordinateur, sans que la victime ne clique sur quoi que ce soit…
La semaine dernière, Microsoft a débusqué une faille critique dans le code de la suite Office. La vulnérabilité permet à des pirates de désactiver certaines protections de sécurité et d’exécuter du code malveillant sur l’ordinateur. Pour exploiter la faille, les hackers se servent d’un document Word ou Excel piégé, envoyé le plus souvent par un e‑mail de phishing.
Si la victime ouvre le fichier, les mécanismes de blocage de Windows ne s’activent pas. Microsoft parlait d’une vulnérabilité « zero day » déjà exploitée par des hackers, mais l’éditeur est resté évasif sur les cyberattaques en cours sur Windows. Pour corriger le tir, Microsoft a déployé une mise à jour de toute urgence.
À lire aussi : Microsoft enterre un protocole de sécurité Windows créé en 1993
Des hackers russes exploitent la faille de Microsoft Office
Quelques jours après le déploiement du correctif, le CERT-UA, l’équipe nationale ukrainienne de réponse aux urgences informatiques, a découvert que la vulnérabilité était activement exploitée par des pirates russes. Selon les métadonnées analysées par le CERT‑UA, un des documents malveillants exploitant cette faille a été créé un jour après la diffusion du correctif de Microsoft. L’offensive vise surtout des membres du gouvernement ukrainien et des personnes appartenant à des organisations de l’Union européenne.
L’attaque repose sur l’envoi d’un document Word piégé par mail. Pour berner les victimes, le courriel évoque des réunions européennes sur l’Ukraine ou prétend provenir du service météo officiel ukrainien. Quand la victime ouvre le document dans Microsoft Office, les pirates vont directement exploiter la vulnérabilité. Sans que l’utilisateur n’ait à cliquer sur quoi que ce soit, le document piégé va exécuter du code permettant de télécharger, à distance, des fichiers malveillants. La faille permet à un document spécialement conçu de forcer Office à contacter un serveur distant et à y télécharger du contenu, alors que les protections intégrées à Windows devraient l’empêcher ou au moins afficher un avertissement à l’écran. Sans mise à jour d’Office, un simple document reçu par mail suffit à compromettre un ordinateur. Au terme de l’opération, les pirates donnent les rennes de votre PC à Covenant, un malware de contrôle à distance.
À lire aussi : Cyberattaque mondiale – Microsoft neutralise un « moteur essentiel » des arnaques en ligne
Espionnage et vol de données
Le but principal de cette attaque est d’espionner des structures ukrainiennes et européennes et de voler des informations sensibles en lien avec la guerre en Ukraine. La campagne est attribuée au groupe russe APT28, qui est lié au renseignement militaire de la Russie. Bien que la cyberattaque se concentre sur des cibles bien précises, et non sur le grand public, on vous recommande de vous assurer que Microsoft Office est bien à jour. Pour installer le correctif, il n’y a rien à faire, sauf redémarrer tous vos logiciels Office.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
CERT-UA