Comment les hackers infectent votre poste de travail

jeudi 13 septembre 2018, par Bruno Benque

Certains fichiers Office provenant de sources non identifiées peuvent devenir des vecteurs d’infection virale pour les postes de travail Windows. Nous vous présentons ici les processus utilisés les plus fréquemment utilisés et par lesquels les hackers introduisent des fichiers malveillants dans votre disque dur, ainsi que la façon de prévenir ces attaques.

Les cyberattaques sont de plus en plus fréquentes sur les postes de travail Windows. C’est pourquoi il est déconseillé d’ouvrir les documents Office reçus notamment par mail provenant d’une source inconnue ou non validée.

Les macros, cibles préférées des hackers

Mais comment les hackers s’y prennent-ils pour infecter les logiciels Office ? Voici quelques techniques, identifiées par l’Unit42 (unité de recherches de Palo Alto Networks), qu’ils utilisent pour détourner ces documents et les transformer en vecteurs d’infection des postes de travail Windows. Ils s’en prennent en premier lieu aux macros. Si elles ne sont pas activées, un message propose à l’utilisateur de le faire. Ils usent, pour ce faire, de techniques d’ingénierie sociale, afin qu’il active le contenu intégral du document. Microsoft impose néanmoins une extension de nom de fichier sécuritaire (.docm au lieu de .docx pour les nouveaux documents contenant des macros) mais certains utilisateurs ouvrent tout de même les fichiers incriminés, qui deviennent des vecteurs de ransomware.

Des objets externes très vulnérables

Mais les documents Office peuvent contenir également des objets externes, tels les fichiers Adobe Flash. Ces objets, pour qu’ils fonctionnent, sont envoyés au logiciel spécialisé qui les prend en charge. Or, ces logiciels sont souvent vulnérables et sont des cibles faciles pour les hackers. De la même manière, ces derniers insèrent des virus dans des documents des équations mathématiques gérés par le logiciel d’équations Microsoft. Les objets OLE et les handlers HTA sont également des formats ciblés par les hackers. Ce sont des mécanismes employés par les documents Office pour faire référence à d’autres documents inclus dans leur contenu. Lorsqu’un de ces objets est incorporé dans un document Microsoft Word et que celui-ci est ouvert, le processus Word (winword.exe) envoie une requête HTTP à un serveur distant afin de télécharger un fichier HTA contenant un script malveillant. Cela peut être le cas, de plus, pour les fichiers RTF, qui peuvent également exécuter des objets OLE de type mime « text/html », au moyen de MSHTML

Des solutions de prévention et de défense contre les cyberattaques

Les cyberattaques sont aujourd’hui plus fréquentes et plus complexes. C’est pourquoi il est préférable de prévenir plutôt que de guérir en adoptant des outils de défense. Traps de Palo Alto Networks, fait partie de ces solutions de prévention. Elle protège les postes de travail en examinant les macros grâce au cloud de veille des menaces WildFire et à des capacités locales à base de machine learning. Elle assure la prévention de l’exploitation de vulnérabilités et surveille les applications Office par défaut, faisant ainsi en sorte que les processus légitimes intégrés ne soient pas exploités pour des flux malveillants.

Mais il y a une solution plus simple pour éviter d’infecter son poste de travail Windows : ne pas ouvrir les fichiers douteux ou qui proviennent de sources non fiables...

Bruno Benque
Rédacteur en chef www.cadredesante.com
bruno.benque@cadredesante.com
@bbenk34


Partager cet article