Une fonctionnalité intégrée dans Microsoft Office peut être exploitée pour créer un malware capable de se propager

Des chercheurs en sécurité ont publié, en début de ce mois, un PoC (Proof of Concept) montrant qu’il est possible de contourner la fonctionnalité de limitation d’exécution des Macros sur les fichiers Microsoft Office et ainsi de créer un malware capable de se propager.

Comme pour les vulnérabilités utilisant le protocole DDE (Dynamic Data Exchange), Microsoft présente la fonction utilisée comme une fonctionnalité intégrée au produit et refuse de la considérer comme une faille de sécurité. Microsoft précise que les macros externes (ou non fiables) sont par défaut désactivée et ne sont activables manuellement qu'au travers de l’activation du paramètre « Accès approuvé au modèle d'objet du projet VBA ». Cependant, ce mécanisme peut être contourné : le PoC montre qu’il est possible de l’activer/désactiver en manipulant une clé de registre Windows et ainsi permettre aux macros d’écrire elles-même des macros à l’insu de l’utilisateur.

Dans le cas d'une macro malveillante, la victime devient ainsi responsable de la propagation du code malicieux à d’autres utilisateurs en envoyant le fichier office contaminé depuis son système.

Par ailleurs, la plupart des antivirus ne détectent pas les documents contenant du code VBA et aucun correctif n’est planifié par Microsoft pour limiter cette vulnérabilité.

Il est toutefois possible pour se prémunir partiellement de déplacer la clé de registre « AccessVBOM » de « HKCU » vers « HKLM », la rendant modifiable par l’administrateur système seulement.