Multiples vulnérabilités découvertes dans Microsoft Office

De multiples vulnérabilités ont été corrigées dans Microsoft Office. Elles permettent à un attaquant de provoquer une élévation de privilèges, une atteinte à la confidentialité des données, une exécution de code à distance, une usurpation d'identité et un contournement de la fonctionnalité de sécurité.

CVE-2019-1448 [Score CVSSv3 7.8] : Microsoft Excel est vulnérable à une exécution de code à distance lorsque celui-ci ne parvient pas à traiter correctement les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte de l’utilisateur connecté. Si l’utilisateur a ouvert une session avec des privilèges d’administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle d’un système affecté. L’attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d’administrateur.

L’exploitation de cette vulnérabilité nécessite qu’un utilisateur ouvre un fichier spécialement conçu avec une version concernée de Microsoft Excel. Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en persuadant celui-ci d’ouvrir le fichier. Dans le cas d’une attaque web, l’attaquant pourrait héberger un site web (ou exploiter un site web compromis qui accepte ou héberge du contenu provenant d’utilisateurs) contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer un utilisateur à visiter le site web. Il devrait le convaincre de cliquer sur un lien, généralement par le biais d'une sollicitation envoyée par message électronique ou message instantané, puis l’amener à ouvrir le fichier spécialement conçu.

CVE-2019-1449 [Score CVSSv3 9.8] : Une vulnérabilité a été découverte dans la façon dont les composants Office « Démarrer en un clic » (C2R) traitent certains fichiers spécialement conçus. Un attaquant pourrait exploiter cette vulnérabilité afin d’élever ses privilèges depuis ceux d’un utilisateur standard, ou d’un utilisateur dans le bac à sable (« sandbox AppContainer ») ou en mode protégé « LPAC d’Office » à ceux de SYSTEM (plus haut niveau de privilège en environnement Windows).

 

Informations
+

Risques

  • Contournement de la fonctionnalité de sécurité
  • Atteinte à la confidentialité des données
  • Exécution de code à distance
  • Usurpation d'identité
  • Élévation de privilèges

Criticité

  • Score CVSS : 9.8 [Maximum]

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • Excel Services
  • Microsoft Excel 2010 Service Pack 2 (éditions 32 bits)
  • Microsoft Excel 2010 Service Pack 2 (éditions 64 bits)
  • Microsoft Excel 2013 RT Service Pack 1
  • Microsoft Excel 2013 Service Pack 1 (éditions 32 bits)
  • Microsoft Excel 2013 Service Pack 1 (éditions 64 bits)
  • Microsoft Excel 2016 (édition 32 bits)
  • Microsoft Excel 2016 (édition 64 bits)
  • Microsoft Excel 2016 pour Mac
  • Microsoft Office 2010 Service Pack 2 (éditions 32 bits)
  • Microsoft Office 2010 Service Pack 2 (éditions 64 bits)
  • Microsoft Office 2013 RT Service Pack 1
  • Microsoft Office 2013 Service Pack 1 (éditions 32 bits)
  • Microsoft Office 2013 Service Pack 1 (éditions 64 bits)
  • Microsoft Office 2016 (édition 32 bits)
  • Microsoft Office 2016 (édition 64 bits)
  • Microsoft Office 2016 pour Mac
  • Microsoft Office 2019 pour Mac
  • Microsoft Office 2019 pour éditions 32 bits
  • Microsoft Office 2019 pour éditions 64 bits
  • Microsoft Office Online Server
  • Microsoft Project 2010 Service Pack 2 (éditions 32 bits)
  • Microsoft Project 2010 Service Pack 2 (éditions 64 bits)
  • Microsoft Project 2013 Service Pack 1 (éditions 32 bits)
  • Microsoft Project 2013 Service Pack 1 (éditions 64 bits)
  • Microsoft Project 2016 (édition 32 bits)
  • Microsoft Project 2016 (édition 64 bits)
  • Microsoft SharePoint Enterprise Server 2013 Service Pack 1
  • Microsoft SharePoint Enterprise Server 2016
  • Microsoft SharePoint Foundation 2010 Service Pack 2
  • Microsoft SharePoint Foundation 2013 Service Pack 1
  • Microsoft SharePoint Server 2019
  • Office 365 ProPlus pour 64 bits Systems
  • Office 365 ProPlus pour systèmes 32 bits
  • Office Online Server

CVE

  • CVE-2019-1261
  • CVE-2019-1070
  • CVE-2019-1448
  • CVE-2019-1449
  • CVE-2019-1259
  • CVE-2019-1328
  • CVE-2019-1262
  • CVE-2019-1263
  • CVE-2019-1457
  • CVE-2019-1327
  • CVE-2019-1443
  • CVE-2019-1257
  • CVE-2019-1330
  • CVE-2019-1331
  • CVE-2019-1260
  • CVE-2019-1264
  • CVE-2019-1402
  • CVE-2019-1445
  • CVE-2019-1246
  • CVE-2019-1446
  • CVE-2019-1329
  • CVE-2019-1442
  • CVE-2019-1447
  • CVE-2019-1295
  • CVE-2019-1297
  • CVE-2019-1296

Recommandations
+

Mise en place de correctif de sécurité

  • Il est recommandé de mettre à jour Office en appliquant le « Patch Tuesday » de novembre.

Solution de contournement

  • Aucune solution n'a été proposée autre que la mise à jour.