CVE-2017-11882 Will Never Die, (Wed, Aug 13th)

La Persistance Insidieuse de CVE-2017-11882

La vulnérabilité CVE-2017-11882 continue d’être exploitée par des acteurs malveillants, malgré son ancienneté. Cette faille de sécurité affecte l’Éditeur d’Équations de Microsoft Office, un composant précédemment supprimé par Microsoft en raison de problèmes de sécurité récurrents.

Points Clés et Mécanisme d’Attaque :

• L’article met en lumière un fichier .xlam (un complément Excel) contenant une charge utile malveillante, contournant les protections modernes contre les macros VBA.
• L’exploitation repose sur l’insertion d’un objet OLE (OLEObject) dans le fichier Excel, référençant un flux d’incorporation (../embeddings/wB.WOQMg).
• Ce flux d’incorporation contient le code d’exploitation obfuscé pour la vulnérabilité CVE-2017-11882, qui permet l’exécution de code à distance.
• L’analyse confirme que le code est lié à l’Éditeur d’Équations et inclut une section de shellcode/commande.
• Lors de l’ouverture du fichier dans une version vulnérable de Microsoft Office, l’exploit est déclenché.

Exemple d’Exploitation :

Un échantillon analysé a permis le téléchargement d’un exécutable malveillant (SHA256:19dac0de92478f91420db6588d40ec9a5115b4a8777cf7ba9dd4ae35059a706d), identifié comme un Keylogger VIP. Ce dernier était configuré pour voler des informations via SMTP.

Vulnérabilités :

• CVE-2017-11882 : Exécution de code à distance dans l’Éditeur d’Équations de Microsoft Office.

Recommandations :

Bien que l’article ne détaille pas explicitement les actions de remédiation pour cette vulnérabilité spécifique, le message principal des professionnels de la sécurité est clair : il est crucial de maintenir ses logiciels à jour et de appliquer les correctifs de sécurité dès leur disponibilité. La persistance de l’exploitation de CVE-2017-11882 souligne l’importance des stratégies de mise à jour régulières et rigoureuses des systèmes et applications.

Source