-
Ajouter aux favoris
Olé, Olé, Olé!
vendredi 17 mars 2017
Tout le monde connaît ce chant de stade de foot. Les cybercriminels aussi, mais ils l’utilisent dans un tout autre but.
OLE (Object Linking and Embedding) — est une technologie développée par Microsoft qui permet à des objets d’être insérés dans des documents et dans d’autres objets. Cette technologie a été intégrée à ActiveX.
Avec OLE, un programme peut transférer une partie d’un travail pris en charge par une application à une autre application. Par exemple, le logiciel Desktop publishing peut utiliser OLE pour transférer un texte à un éditeur de texte ou pour envoyer une image à un éditeur d’images.
OLE facilite l’échange de données entre différents programmes via l’interface OLE Object ou en utilisant un Clipboard.
Une technologie intéressante qui permet à différents programmes d’utiliser une interface commune afin de travailler ensemble. Cependant, les routines versatiles des solutions populaires sont également une aubaine pour les cybercriminels. Faisant partie de Microsoft Office, la technologie peut être utilisée pour embarquer du code VBScript ou JavaScript malveillant dans des documents qui seront potentiellement envoyés à des utilisateurs.
Les programmes malveillants (détectés par Dr.Web comme VBS.DownLoader.663 / VBS.DownLoader.648) utilisent des fonctionnalités légitimes pour créer des liens vers des objets OLE et Office pour placer des malwares dans les systèmes ciblés. De faux documents sont distribués via email usant de pièges de l’ingénierie sociale pour tromper les utilisateurs et les laisser utiliser des objets dans un document Office.
Dans le document, une grande icône apparaît et doit être cliquée pour débloquer le contenu. Le clic sur cette icône déclenche l’ouverture d’une fenêtre de dialogue demandant la permission de lancer un code JavaScript ou VBScript.
https://xakep.ru/2016/06/16/microsoft-ole-for-malware
Cette attaque est similaire à celle employée via les macros malveillantes, mais la plupart des utilisateurs savent qu’elles peuvent être désactivées. Alors que peu de gens connaissent OLE, les pirates ont donc plus de « succès » avec cette technologie.
Le code malveillant est souvent chiffré, une mesure prise par les cybercriminels pour rendre plus difficile sa détection.
Les criminels ont souvent employé des fonctionnalités de programmes légitimes dans leurs attaques. Par exemple, ils ont souvent utilisé Visual Basic for Applications dans Microsoft Office. Qu’est-ce qui rend cette attaque particulièrement dangereuse ?
Les partisans de Linux pensent que passer à cette plateforme résout tous les problèmes de sécurité. Cependant, des émulateurs Windows sont utilisés pour lancer leurs applications sous Linux- y compris Microsoft Office. Et, sous certaines conditions, le code conçu pour fonctionner dans un certain programme et utiliser ses fonctionnalités peut fonctionner dans différentes plateformes. Des incidents de ce type sont déjà survenus. Prenez Java.Adwind.3, par exemple. Ecrit en Java, il est devenu une application multiplateformes. Ce backdoor fonctionnait sous Windows, OS X, Linux et Android. Il avait seulement besoin de JRE (Java Runtime Environment) pour être installé dans le système. Son éventail de fonctionnalités était assez impressionnant pour un programme multiplateformes. Il pouvait télécharger, mettre à jour et lancer un autre malware ; afficher des notifications ; et exécuter des URL. Le backdoor supportait également des plugins apportant de nouvelles fonctionnalités.
Le projet Lumières sur la sécurité recommande
Les criminels réfléchissent en permanence à des moyens de passer outre la protection antivirus. Donc :
Microsoft tente d’intégrer Windows Subsystem pour Linux (WSL) à Windows 10. Ceci n’est ni un émulateur ni une machine virtuelle, mais une couche de compatibilité Linux.
Les fichiers exécutables pour le sous-système sont apparus pour la première fois dans Windows 10 Insider Preview Build 14251, puis furent rendus disponibles pour les utlisateurs d’Insider Preview Build 14316. Plus tard, après la Mise à jour Anniversaire, le sous-système devint accessible à tous les utilisateurs de Windows 10.
- Installer et mettre à jour régulièrement son antivirus n’est pas suffisant. Pour maintenir la sécurité du système, utilisez une solution plus complète intégrant un filtre qui pourra analyser le trafic avant qu’il ne soit utilisé par d’autres applications, et des pilotes qui permettront à l’antivirus d’intercepter les requêtes adressées aux composants système. Dr.Web Security Space répond à ces critères.
- Les utilisateurs avancés doivent faire attention à la configuration des applications qui peuvent être attaquées.
Pour protéger votre système d’attaques de ce type, il est recommandé d’effectuer les modifications suivantes dans le registreWindows :
HKCUSoftwareMicrosoftOffice< Office Version >< Office application >SecurityPackagerPrompt
La valeur < Office Version > peut être 16.0 (Office 2016) ; 15.0 (Office 2013) ; 14.0 (Office 2010) ; ou 12.0 (Office 2007). Le paramètre < Office application > indique une application Office spécifique, par ex., Word, Excel, etc.
Ici, la valeur devrait correspondre à “2”, ce qui signifie “Pas de sollicitation, l’objet n’est pas exécuté ». « 1 » signifiera « Sollicitation d’Office lorsque l’utilisateur clique, l’objet est exécuté». Zéro signifie « Pas de sollicitation d’Office lorsque l’utilisateur clique, l’objet est exécuté », c’est-à-dire que les objets sont exécutés sans notification préalable.
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Partagés 17 fois")
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
vasvet
06:32:51 2018-08-27
Bernard
15:34:05 2017-03-17
Неуёмный Обыватель
04:49:54 2017-03-17