[EXPLOIT] Élévation de privilèges et prise de contrôle du système via 6 vulnérabilités au sein de Microsoft Office

[EXPLOIT] Élévation de privilèges et prise de contrôle du système via 6 vulnérabilités au sein de Microsoft Office

Le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons de revenir sur la publication d’un code d’exploitation affectant la suite Office de Microsoft. L’exploitation de la vulnérabilité associée permet à un attaquant distant de prendre le contrôle du système de sa victime.


Description :

Une preuve de concept, exploitant l’une des vulnérabilités présentées dans le bulletin CXA-2017-4237, a été publiée.

La vulnérabilité en question, référencée CVE-2017-11882, affecte la suite Microsoft Office. L’exploitation de cette faille permet de prendre le contrôle d’un système à distance.

La preuve de concept se matérialise sous la forme d’un code en Python. Il permet de générer un document Office malveillant. Lorsque ce document est ouvert par une victime, un script Powershell lance en arrière-plan le service WebClient afin d’exécuter du code malveillant téléchargé depuis un serveur WebDav (protocole de transfert de fichiers) contrôlé par l’attaquant. Un pirate utilisant cette preuve de concept est alors en mesure d’exécuter du code arbitraire sur le système de sa victime.

Note : la preuve de concept exploite une vulnérabilité corrigée par Microsoft au sein du dernier Patch Tuesday (2017-Nov).


Recommandation :

Le CERT-XMCO recommande l’application des correctifs disponibles via le mécanisme de mise à jour automatique ou aux adresses suivantes :

* Pour Microsoft Office 2016 (64 bits edition) (KB4011262) :
https://www.microsoft.com/downloads/details.aspx?familyid=6fc31285-41a0-47a5-a738-d591cc863519
Redémarrage requis : n/a

* Pour Microsoft Office 2016 (32 bits edition) (KB4011262) :
https://www.microsoft.com/downloads/details.aspx?familyid=da67f5f5-ae58-401e-8b6a-184860b867e8
Redémarrage requis : n/a

* Pour Microsoft Office 2013 SP1 64 bits (KB3162047) :
https://www.microsoft.com/downloads/details.aspx?familyid=efee8970-8b4c-40bb-a52c-ebf69fc281b4
Redémarrage requis : n/a

* Pour Microsoft Office 2013 SP1 32 bits (KB3162047) :
https://www.microsoft.com/downloads/details.aspx?familyid=9cb39128-16bf-4e64-85e9-68e6e3da7965
Redémarrage requis : n/a

* Pour Microsoft Office 2010 SP2 64 bits (KB4011268) :
https://www.microsoft.com/downloads/details.aspx?familyid=cf401973-73a2-4e6f-9590-12e8dc3fdfbb
Redémarrage requis : n/a, KB remplacé : KB3213627

* Pour Microsoft Office 2010 SP2 32 bits (KB4011268) :
https://www.microsoft.com/downloads/details.aspx?familyid=0626a78f-3fc5-4609-a638-95fb71493151
Redémarrage requis : n/a, KB remplacé : KB3213627

* Pour Microsoft Office 2007 SP3 (KB4011276) :
https://www.microsoft.com/downloads/details.aspx?familyid=f6c365a1-80f6-464b-96df-d32508a46757
Redémarrage requis : n/a


Références :

https://github.com/embedi/CVE-2017-11882

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11854
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11876
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11877
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11878
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11884

Référence CERT-XMCO :


Antoine Dumouchel