Microsoft a divulgué une faille zero-day non corrigée dans Office qui, si elle était exploitée avec succès, pourrait entraîner la divulgation non autorisée d’informations sensibles à des acteurs malveillants.
La vulnérabilité, identifiée comme CVE-2024-38200 (score CVSS : 7,5), a été décrite comme une faille d’usurpation d’identité qui affecte les versions suivantes d’Office :
- Microsoft Office 2016 pour les éditions 32 bits et 64 bits
- Microsoft Office LTSC 2021 pour les éditions 32 bits et 64 bits
- Applications Microsoft 365 pour les entreprises pour les systèmes 32 bits et 64 bits
- Microsoft Office 2019 pour les éditions 32 bits et 64 bits
Les chercheurs Jim Rush et Metin Yunus Kandemir sont à l’origine de la découverte et du signalement de la vulnérabilité.
« Dans un scénario d’attaque Web, un attaquant pourrait héberger un site Web (ou exploiter un site Web compromis qui accepte ou héberge du contenu fourni par l’utilisateur) qui contient un fichier spécialement conçu pour exploiter la vulnérabilité », a déclaré Microsoft. dit dans un avis consultatif.
« Cependant, un attaquant n’aurait aucun moyen de forcer l’utilisateur à visiter le site Web. Au lieu de cela, un attaquant devrait convaincre l’utilisateur de cliquer sur un lien, généralement au moyen d’une incitation dans un e-mail ou un message de messagerie instantanée, puis convaincre l’utilisateur d’ouvrir le fichier spécialement conçu. »
Un correctif formel pour CVE-2024-38200 devrait être livré le 13 août dans le cadre de ses mises à jour mensuelles Patch Tuesday, mais le géant de la technologie a déclaré avoir identifié un correctif alternatif qu’il a activé via Feature Flighting à partir du 30 juillet 2024.
Il a également noté que même si les clients sont déjà protégés sur toutes les versions en cours de support de Microsoft Office et Microsoft 365, il est essentiel de mettre à jour vers la version finale du correctif lorsqu’il sera disponible dans quelques jours pour une protection optimale.
Microsoft, qui a qualifié la faille d’« exploitation moins probable », a également décrit trois stratégies d’atténuation :
- Bloquez les communications sortantes TCP 445/SMB du réseau en utilisant un pare-feu de périmètre, un pare-feu local et via les paramètres VPN pour empêcher l’envoi de messages d’authentification NTLM aux partages de fichiers distants
Cette révélation intervient alors que Microsoft a déclaré qu’il travaillait à la résolution de deux failles zero-day (CVE-2024-38202 et CVE-2024-21302) qui pourraient être exploitées pour « annuler les correctifs » des systèmes Windows à jour et réintroduire d’anciennes vulnérabilités.
Plus tôt cette semaine, Elastic Security Labs a levé le voile sur une variété de méthodes que les attaquants peuvent utiliser pour exécuter des applications malveillantes sans déclencher les avertissements Windows Smart App Control et SmartScreen, y compris une technique appelée LNK stomping qui est exploitée dans la nature depuis plus de six ans.