Les virus par Word et Excel (documents Office) : comment s’en protéger

Si vous suivez le site, vous êtes déjà probablement au courant puisqu’il existe pas mal d’articles autour de la distribution de logiciels malveillants par Word ou Excel.
Cet article est donc une concaténation et résumé autour de cette utilisation de documents Word & Excel pour infecter les ordinateurs.

Les documents Word malveillants

Initialement, les premières campagnes utilisant des documents Word pour infecter les ordinateurs ont été massivement utilisés par le groupe derrière le cheval de troie Dridex.
Ce trojan possède déjà son propre article : Trojan Dridex – Mails malveillants Macro Office
Par la suite, ce même groupe, courant février 2016, a aussi été à l’origine des campagnes pour pousser le ransomware Locky.

Les deux campagnes visent à envoyer des pièces jointes malveillantes par mail, soit au format Word ou Excel, soit au format PDF rendormant un document Word.
L’utilisateur ouvre le document puis selon la configuration de la suite Office, une interaction est nécessaire pour infecter l’ordinateur.

Contrairement à ce que les internautes peuvent penser, ces emails et notamment lorsqu’ils visent des entreprises peuvent être en langue françaises.

Des exemples de ces campagnes de mails malveillants sont donnés sur les pages suivantes :

Deux techniques ont été utilisées successivement :

  • des macros malveillants insérées dans le document Word, c’est lors de l’exécution de celle-ci que le logiciel malveillant est téléchargé puis exécuter sur l’ordinateur victime
  • La technique DDE qui permet l’exécution d’un script à travers un champs DDE dans le document Word

Le schéma classique des infections par Word :

  1. L’utilisateur reçoit un email avec une pièce jointe en Word ou PDF
  2. L’utilisateur ouvre la pièce jointe et Word se lance
  3. Une interaction par l’utilisateur est alors nécessaire pour que le malware soit exécuté :
    • Une alerte avec un bande jaune s’ouvre demandant à exécuter une macro
    • Un double-clic sur un contenu (image ou autres) est nécessaire pour faire télécharger et exécuter le malware

A noter que dans le cas des objets DDE, ces derniers peuvent être aussi interprété par Outlook et la pré-visualisation des documents Word.

Les macros malveillantes

Les documents Office et Word contenant des macros ont été utilisés jusqu’en Octobre et Novembre 2017 où la technique DDE est ensuite apparue.
Le but est de faire exécuter la macro contenu dans le document Word.
Par défaut, Word affiche un bandeau jaune lorsqu’un document contient une macro, pour que l’infection soit mise en place, l’utilisateur doit accepter son exécution.

Exemple avec une campagne de mail malveillant visant l’Italie avec un document Excel attaché :

Les virus par Word et Excel (documents Offices) : comment s'en protéger

Le document s’ouvre ensuite, notez le bande jaune en haut : Attention aux fichiers provenant d’un emplacement internet, car ils peuvent contenir des virus. Il est recommandé de garder le mode protégé sauf si vous devez effectuer des modifications.
Ce message s’affiche car le document Excel a été téléchargé et exécuté depuis un navigateur internet, du fait que le mail se trouve sur un webmail.

 

Les virus par Word et Excel (documents Offices) : comment s'en protéger

Si on autorise les modifications, on est alors invité à exécuter la macro à travers le bouton « Activer le contenu »

Les virus par Word et Excel (documents Offices) : comment s'en protéger

On constate alors qu’Excel lance cmd qui lance une commande Powershell qui permet de télécharger et exécuter le cheval de troie.

Les virus par Word et Excel (documents Offices) : comment s'en protéger

Cette autre vidéo suivante montre comment un mail malveillant avec un document Word peut infecter l’ordinateur.

La méthode DDE

Cette méthode consiste à insérer un objet DDE qui permet de lancer une commande CMD ou Powershell.
Là aussi, pour être exécuté, cette méthode nécessite une interaction de la part de l’utilisateur qui doit double-cliquer sur le champs.

Pour se faire, une image invitant à double-cliquer sur l’objet est utilisé avec divers prétexte comme débloquer le contenu, ou une alerte de sécurité avec le logo d’un antivirus comme McAfee.

Les virus par Word et Excel (documents Offices) : comment s'en protéger

Une popup d’alerte s’ouvre tout de même pour vous demander si vous êtes sûr de vouloir exécuter cet objet.

Les virus par Word et Excel (documents Offices) : comment s'en protéger

Si c’est le cas, une fenêtre CMD ou Powershell est exécuté qui télécharge le Trojan ou Ransomware sur l’ordinateur.

Les virus par Word et Excel (documents Offices) : comment s'en protéger

Dans le cas observé, il s’agit du ransomware Locky.

Les virus par Word et Excel (documents Offices) : comment s'en protéger

A noter que dans les premières versions, vous pouviez aussi avoir une succession de popup d’alerte mais aussi avec les commandes CMD ou Powershell embarquées dans le document.
Ce qui n’est pas très discret.

Les virus par Word et Excel (documents Offices) : comment s'en protéger

Cette vidéo est un autre exemple d’un document Word malveillant avec un objet DDE :

Comment se protéger des virus par Word et Excel ?

Je passe le fait qu’il « suffit » de faire attention aux emails que vous ouvrez, toutefois, parfois avec la fatigue ou avec des emails bien faits, on peut tomber dans panneau.
Je rappelle à cet effet que des emails en français par exemple, reprenant des factures Free Mobile ou des emails de factures à destination des services de compta ont déjà été massivement diffusés.

Se protéger des macros malveillantes

Par défaut, Office est configuré pour ne pas exécuter les macros et afficher le bandeau jaune.
Cela protège donc de l’exécution automatique d’une macro malveillant, ce qui serait catastrophique.
Ces éléments peuvent être configurés depuis les paramètres de Word ou Excel, depuis les options.

Par exemple sur Office 2003, il faut se rendre dans les Paramètres du centre de gestion de la confidentialité.

Les virus par Word et Excel (documents Offices) : comment s'en protéger

A partir de là, on obtient le paramétrage du comportement de l’ouverture des macros.
Par défaut, ce dernier est réglé pour bloquer et afficher une notification.
Comme vous pouvez le constater, il est tout à fait possible d’activer les macros automatiquement, ce qui est très dangereux.

Les virus par Word et Excel (documents Offices) : comment s'en protéger

Côté protection du contenu pour les documents Office téléchargés depuis internet et autres zones non sûres, celle-ci est activée aussi par défaut.

Les virus par Word et Excel (documents Offices) : comment s'en protéger

Se protéger des champs DDE

Les champs DDE sont autorisés par défaut sur Office avec des alertes.
Il est toutefois possible de désactiver ces derniers pour Office et Outlook, cela se fait en modifiant des clés du registre Windows indiqués sur la page suivante: Vulnérabilité (?) DDE sur Word et mails malveillants.
Pour faciliter les choses, un script REG est disponible en ligne : https://gist.github.com/wdormann/732bb88d9b5dd5a66c9f1e1498f31a1b/archive/69c9d9d14b386d8f178e59a046804501ec1ee304.zip

Briser la chaîne d’exécution

Enfin, comme vous avez pu le comprendre, le document Word ne peut pas télécharger et exécuter le malware.
Pour se faire, la macro ou le champs DDE exécute un script CMD. Ce script CMD peut alors lancer une commande Powershell qui télécharge et exécuter ensuite la charge virale sur l’ordinateur.

Là aussi, si vous suivez régulièrement le site, vous êtes normalement protégé. En effet il existe des articles qui explique comment bloquer Powershell très utilisé par les logiciels malveillants.
Notamment sur la page suivante, il est expliqué comment bloquer Powershell et d’autres processus sensibles sur le pare-feu de Windows : Firewall Windows : les bon réglages

A noter enfin que des mails malveillants au format VBS sont aussi utilisés, cela rentre plus globalement dans le cadre des scripts malveillants sur Windows.
Vous pouvez alors lire : Comment se protéger des scripts malicieux sur Windows et Les virus Powershell

Vous y trouverez notamment la mention de Marmiton. Un programme conçu pour se protéger de ces scripts malveillants et qui permet aussi de piloter les paramètres d’Office.

Liens autour des virus

Dans le même style des virus inclus dans divers type de fichiers et pas forcément bien connus des internautes : Les virus dans les images 

Autres liens autour des virus et la sécurité des virus :

(Visité 346 fois, 18 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet