Activité malveillante potentielle dans Excel au travers de la fonctionnalité Power Query

Les chercheurs de Mimecast ont mis au point une preuve de faisabilité fonctionnelle qui démontre comment des attaquants peuvent utiliser une fonction légitime dans Microsoft Excel appelée Power Query, pour déposer et exécuter arbitrairement et à distance des logiciels malveillants sur le système d'un utilisateur afin d'augmenter ses privilèges.

Power Query est une fonctionnalité d'Excel qui permet aux utilisateurs de connecter leurs feuilles de calcul à d'autres sources de données structurées et non structurées, y compris des pages Web, des fichiers texte et des bases de données (Active Directory, Exchange, Hadoop ou Facebook).

De telles attaques sont cependant difficiles à détecter par les anti-virus et pourraient permettre ainsi aux attaquants de télécharger des charges utiles dans des feuilles de calcul Excel directement à partir du Web ou d'une autre source externe lorsque le document est ouvert.

Détails Techniques:

Dans sa démonstration de faisabilité, Mimecast révèle comment une page Web externe hébergeant une charge utile malveillante peut être intégrée dans une feuille de calcul Excel. Selon l'expert, l'action est simple à réaliser et ne nécessite d'effectuer ni de l'ingénierie inversée, ni d'édition hexadécimale ou toute autre procédé de manipulation de mémoire.

Le scénario consiste en un envoi de fichier Excel à la victime via un courriel d'hameçonnage ou l'utilisation d'une autre tactique d'ingénierie sociale pour amener cette personne à ouvrir le document. À ce moment-là, le document requête la charge utile malveillante hébergée sur la page Web de l'attaquant. 

Informations
+

Risques

  • Exécution de code arbitraire

Criticité

  • Score CVSS : N/A

Existence d’un code d’exploitation de la vulnérabilité

  • Une démonstration de faisabilité existe et dont le détail est accessible ici.

Composants & versions vulnérables

  • Microsoft Excel sur tous les systèmes concernés.

CVE

  • N/A

Recommandations
+

Mise en place de correctif de sécurité

  • Aucun correctif n'a été proposé par Microsoft

Solution de contournement

  • Contre ce type d'attaque, Microsoft a publié un avis de sécurité dans lesquelles plusieurs mesures sont proposées :

Pour empêcher la mise à jour automatique des liens à partir d’Excel (y compris DDE, OLE et les références de cellules externes ou de noms définis), consultez le tableau ci-dessous pour connaître la chaîne de version de clé de Registre à définir pour chaque version :

  • Chaîne <version> de clé de Registre
    • 12.0 (Office 2007)
    • 14.0 (Office 2010)
    • 15.0 (Office 2013)
    • 16.0 (Office 2016)
  • Pour désactiver la fonctionnalité DDE dans l’interface utilisateur :
    • Définissez Fichier > Options > Centre de gestion de la confidentialité > Paramètres du Centre de gestion de la confidentialité… > Contenu externe > Paramètres de sécurité pour les liaisons de classeur = Désactiver la mise à jour automatique des liaisons de classeur.
  • Pour désactiver la fonctionnalité DDE, il est également possible de directement modifier la ligne suivante dans l’Éditeur du Registre (via la commande regedit dans l'invite de commande) :

    • [HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Excel\Security] WorkbookLinkWarnings(DWORD) = 2

Microsoft note que la désactivation de cette fonctionnalité dans le Registre pourrait empêcher la mise à jour dynamique des feuilles de calcul Excel. En effet, les données pourraient ne pas être entièrement à jour, en raison de la désactivation des mises à jour automatiques. Pour faire cette mise à jour de la feuille de calcul, l’utilisateur doit démarrer le flux manuellement. En outre, l’utilisateur ne recevra pas les invites lui rappelant de mettre à jour manuellement la feuille de calcul.