Lors du premier Patch Tuesday de cette année, Microsoft a corrigé une vulnérabilité Office de gravité critique qui peut permettre aux attaquants d’exécuter du code malveillant à distance sur des systèmes vulnérables.
La faille de sécurité, identifiée comme CVE-2022-21840, est un bug d’exécution de code à distance (RCE) que les attaquants peuvent exploiter sans privilèges sur les appareils ciblés dans le cadre d’attaques de faible complexité qui nécessitent une interaction avec l’utilisateur.
« Dans un scénario d’attaque par courrier électronique, un attaquant pourrait exploiter la vulnérabilité en envoyant le fichier spécialement conçu à l’utilisateur et en le convainquant d’ouvrir le fichier », explique Microsoft.
« Dans un scénario d’attaque Web, un attaquant pourrait héberger un site Web (ou exploiter un site Web compromis qui accepte ou héberge du contenu fourni par l’utilisateur) contenant un fichier spécialement conçu pour exploiter la vulnérabilité.
Pour exploiter avec succès cette vulnérabilité critique, les attaquants devraient tromper leurs cibles en ouvrant un document Office spécialement conçu et livré à l’aide d’un lien partagé via une messagerie instantanée ou un e-mail.
Heureusement, Microsoft affirme que le volet de prévisualisation de l’Explorateur Windows ne peut pas être utilisé comme vecteur d’attaque dans les tentatives d’exploitation ciblant cette vulnérabilité.
Si possible, cela permettrait une exploitation réussie sans avoir à amener les victimes potentielles à ouvrir des fichiers Office conçus de manière malveillante au lieu de les sélectionner uniquement dans une fenêtre d’explorateur avec le volet de prévisualisation activé.
Les correctifs macOS sont toujours « en construction »
Même si Redmond a publié des mises à jour de sécurité pour les versions Microsoft 365 Apps for Enterprise et Windows de Microsoft Office, la société travaille toujours sur des correctifs corrigeant la vulnérabilité sur macOS.
Les utilisateurs de Mac exécutant Microsoft Office LTSC pour Mac 2021 et Microsoft Office 2019 pour Mac ont été informés qu’ils devraient attendre un peu plus pour obtenir les correctifs CVE-2022-21840.
« La mise à jour de sécurité pour Microsoft Office 2019 pour Mac et Microsoft Office LTSC pour Mac 2021 ne sont pas disponibles immédiatement », Microsoft dit dans l’avis de sécurité d’aujourd’hui.
« Les mises à jour seront publiées dès que possible, et lorsqu’elles seront disponibles, les clients seront informés via une révision de ces informations CVE. »
Microsoft n’a pas non plus publié rapidement de correctifs macOS pour un Zero-day Excel activement exploité en novembre, un grave bug de contournement des fonctionnalités de sécurité qui permet l’exploitation locale par des attaquants non authentifiés dans des attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur.
Selon les mises à jour des informations CVE, Redmond a publié des mises à jour de sécurité pour Microsoft Office pour Mac une semaine plus tard, conseillant aux utilisateurs de déployer les correctifs pour que leur produit soit protégé contre les attaques sauvages.