Microsoft alerte sur une nouvelle faille critique dans Office. Déjà exploitée par des cybercriminels, la vulnérabilité permet de désactiver la sécurité mise en place par Microsoft. L’éditeur a commencé à déployer d’urgence un correctif pour Microsoft 365 et les versions récentes d’Office.
Microsoft vient de découvrir une nouvelle vulnérabilité dans le code d’Office, son célèbre pack de logiciels de bureautique. Comme l’explique l’éditeur, la faille est déjà activement exploitée dans le cadre de cyberattaques. Il s’agit donc d’une faille de type « zero day ». Cette appellation désigne une vulnérabilité qui est découverte et utilisée par des pirates avant que les développeurs ne puissent déployer un correctif.
Microsoft considère la brèche comme critique. En exploitant la faille d’Office, un attaquant est en mesure de désactiver une protection de sécurité du logiciel. La vulnérabilité est donc très utile dans le cadre d’une cyberattaque, même une attaque relativement simple qui réclame une interaction de la part de la cible.
A lire aussi : Cyberattaque mondiale – Microsoft neutralise un « moteur essentiel » des arnaques en ligne
Un document piégé envoyé par mail
Pour exploiter la faille de sécurité, un hacker doit d’abord mettre au point un fichier Office piégé. Il peut s’agir d’un document Word ou Excel. Ce document est spécialement conçu pour exploiter la vulnérabilité. Le document contient des éléments intégrés, arrangés pour pousser Office à prendre une mauvaise décision de sécurité et à ne pas appliquer la protection prévue par Microsoft. Le « recours à des données non fiables pour une décision de sécurité dans Microsoft Office permet à un attaquant non autorisé de contourner une fonction de sécurité locale », explique Microsoft.
L’attaquant envoie alors ce fichier à la victime, le plus souvent dans le cadre d’une campagne de phishing par mail. Le pirate doit parvenir à convaincre sa cible d’ouvrir le document sur son ordinateur. Il ne suffit pas que l’utilisateur le prévisualise. Pour arriver à leurs fins et berner leur interlocuteur, les cybercriminels disposent d’une panoplie de tactiques de manipulation. Ils peuvent par exemple prétendre que le document est une facture, un avis de convocation ou encore un papier des impôts. Tous les coups sont permis pour faire réagir l’internaute.
L’utilisateur double‑clique sur le fichier, celui-ci va directement s’ouvrir dans Microsoft Office. À ce moment‑là, Office devrait normalement appliquer des mesures d’atténuation destinées à bloquer les fichiers considérés comme dangereux. Étant donné que le fichier a été piégé en amont, les mesures de sécurité ne vont pas s’activer. Le fichier malveillant va passer entre les mailles du filet. Une fois cette barrière franchie, le document peut exécuter du code malveillant ou interagir avec d’autres vulnérabilités de l’ordinateur.
À lire aussi : Plus de 100 failles Windows corrigées – Microsoft déploie le premier Patch Tuesday de 2026, installez la mise à jour
Microsoft déploie un correctif
Pour protéger les internautes contre les attaques en cours, Microsoft a déployé une mise à jour qui « corrige la vulnérabilité qui contourne les mesures d’atténuation » d’Office. Les utilisateurs de Microsoft 365 et Microsoft Office sont invités à installer le correctif sans tarder.
Les utilisateurs d’Office 2021 et des versions ultérieures « seront automatiquement protégés grâce à une modification côté serveur, mais devront redémarrer leurs applications Office pour que cette modification prenne effet ». Il n’y a donc rien à faire, sauf redémarrer vos applications. Enfin, Microsoft n’a pas encore corrigé le tir sur Office 2016 et 2019. En attendant un correctif, Microsoft propose des mesures d’atténuation à ses utilisateurs.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.