Avis de sécurité Microsoft 2953095

Une vulnérabilité dans Microsoft Word pourrait permettre l'exécution de code à distance

Paru le: lundi 24 mars 2014

Version: 1.0

Informations générales

Synthèse

Microsoft a connaissance d'une vulnérabilité concernant les versions en cours de support de Microsoft Word. À ce jour, nous avons connaissance d'attaques ciblées et limitées à l'encontre de Microsoft Word 2010. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier RTF spécialement conçu à l'aide d'une version affectée de Microsoft Word, ou bien prévisualisait ou ouvrait un message électronique au format RTF spécialement conçu dans Microsoft Outlook en utilisant Microsoft Word comme éditeur de messages électroniques. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d'utilisateur que l'utilisateur actuel. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d'administrateur. L'application de la solution Fix it de Microsoft, « Disable opening RTF content in Microsoft Word » empêche l'exploitation de ce problème via Microsoft Word. Consultez la section « Actions suggérées » de cet Avis pour plus d'informations.

Il s'agit d'une vulnérabilité d'exécution de code à distance. Ce problème survient lorsque Microsoft Word traite des données RTF spécialement conçues susceptibles de corrompre la mémoire système et de permettre ainsi à un attaquant d'exécuter du code arbitraire. Cette vulnérabilité peut uniquement être exploitée par Microsoft Outlook lorsque Microsoft Word est utilisé en tant qu'éditeur de messages électroniques. Remarque : Microsoft Word est l'éditeur de messages électroniques par défaut dans Microsoft Outlook 2007, Microsoft Outlook 2010 et Microsoft Outlook 2013.

Dès la fin de son enquête sur cette vulnérabilité, Microsoft prendra les mesures nécessaires afin d'aider à protéger ses clients, ce qui peut comprendre la mise à disposition d'une solution par l'intermédiaire du cycle mensuel des mises à jour de sécurité ou via une publication exceptionnelle.

Nous collaborons activement avec nos partenaires du Microsoft Active Protections Program (MAPP) afin de leur fournir les informations dont ils ont besoin pour offrir une protection supplémentaire à leurs clients. Pour obtenir des informations sur les protections publiées par les partenaires du MAPP, consultez l'article consacré aux protections mises à jour des partenaires du MAPP (en anglais).

Microsoft continue à encourager ses clients à suivre les conseils du Centre de sécurité Microsoft : activez un pare-feu, maintenez vos logiciels à jour, utilisez un logiciel anti-programme malveillant.

Facteurs atténuants :

  • Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur actuel. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d'administrateur.
  • Dans le cas d'une attaque Web, l'attaquant pourrait héberger un site Web contenant une page Web intégrant un fichier RTF spécialement conçu pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent du contenu ou des annonces provenant d'utilisateurs pourraient contenir du contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.

Recommandation. Veuillez consulter la section « Actions suggérées » de cet Avis pour plus d'informations.

Détails de l'Avis

Références sur le problème

Pour plus d'informations sur ce problème, consultez les références suivantes :

Références Identification
Article de la Base de connaissances Microsoft 2953095
Référence CVE CVE-2014-1761

Logiciels concernés

Cet Avis porte sur les logiciels suivants.

Logiciels concernés
Microsoft Word 2003 Service Pack 3
Microsoft Word 2007 Service Pack 3
Microsoft Word 2010 Service Pack 1 (éditions 32 bits)
Microsoft Word 2010 Service Pack 2 (éditions 32 bits)
Microsoft Word 2010 Service Pack 1 (éditions 64 bits)
Microsoft Word 2010 Service Pack 2 (éditions 64 bits)
Microsoft Word 2013 (éditions 32 bits)
Microsoft Word 2013 (éditions 64 bits)
Microsoft Word 2013 RT
Microsoft Word Viewer
Pack de compatibilité Microsoft Office Service Pack 3
Microsoft Office pour Mac 2011
Word Automation Services sur Microsoft SharePoint Server 2010 Service Pack 1
Word Automation Services sur Microsoft SharePoint Server 2010 Service Pack 2
Word Automation Services sur Microsoft SharePoint Server 2013
Microsoft Office Web Apps 2010 Service Pack 1
Microsoft Office Web Apps 2010 Service Pack 2
Microsoft Office Web Apps Server 2013

Forum aux questions relatif à cet Avis

Quelle est la portée de cet Avis?
Microsoft étudie des rapports faisant état d'une vulnérabilité dans les versions affectées de Microsoft Word.

Cette vulnérabilité nécessite-t-elle la publication par Microsoft d'une mise à jour de sécurité?
Dès la fin de cette enquête, Microsoft prendra les mesures nécessaires afin d'aider à protéger ses clients, ce qui peut comprendre la fourniture d'une solution par l'intermédiaire du cycle mensuel des mises à jour de sécurité ou lors d'une publication exceptionnelle.

Comment Microsoft Outlook est-il affecté par cette vulnérabilité?
Outlook n'est pas directement affecté car cette vulnérabilité existe dans Microsoft Word. Cependant, si Word est sélectionné comme éditeur de messages électroniques, ce qui est le cas par défaut dans Microsoft Outlook 2007, Outlook 2010 et Outlook 2013, un attaquant pourrait alors utiliser Outlook comme vecteur d'attaque par message électronique pour exploiter la vulnérabilité en envoyant un message électronique au format RTF spécialement conçu à l'utilisateur cible.

Qu'est-ce que le format RTF?
Le format RTF (Rich Text Format) est une méthode d'encodage de graphiques et de textes formatés pour une utilisation dans des applications et pour le transfert entre les applications. Les utilisateurs comptent souvent sur un logiciel de traduction spécial pour déplacer des documents de traitement de texte entre différentes applications développées par différentes sociétés. Le format RTF sert de norme pour le transfert de données entre les logiciels de traitement de texte et le formatage du document, et permet de migrer le contenu d'un système d'exploitation à un autre.

Que pourrait faire un attaquant en exploitant cette vulnérabilité?
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur actuel. Si l'utilisateur actuel a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Comment un attaquant pourrait-il exploiter cette vulnérabilité?
Cette vulnérabilité nécessite qu'un utilisateur ouvre ou affiche des données RTF spécialement conçues avec une version affectée du logiciel Microsoft Office.

Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant des données RTF spécialement conçues dans le contenu d'un message électronique. Cette vulnérabilité pourrait être exploitée lorsque le message électronique au format RTF spécialement conçu est affiché ou ouvert dans Outlook en utilisant Microsoft Word comme éditeur de messages électroniques. Un attaquant pourrait également exploiter cette vulnérabilité en envoyant un fichier RTF spécialement conçu en pièce jointe et en persuadant l'utilisateur d'ouvrir le fichier RTF spécialement conçu. Remarque : Microsoft Word est l'éditeur de messages électroniques par défaut dans Outlook 2007, Outlook 2010 et Outlook 2013.

Dans le cas d'une attaque Web, l'attaquant pourrait héberger un site Web contenant un fichier RTF spécialement conçu pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent du contenu provenant d'utilisateurs pourraient contenir un élément malveillant susceptible d'exploiter cette vulnérabilité. Dans tous les cas, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à afficher le contenu contrôlé par l'attaquant. Il lui faudrait convaincre les utilisateurs de prendre des mesures, généralement en les incitant à cliquer sur un lien, puis les convaincre d'ouvrir le fichier RTF spécialement conçu.

EMET contribue-t-il à atténuer les attaques qui tenteraient d'exploiter cette vulnérabilité?
Oui. L'EMET (Enhanced Mitigation Experience Toolkit) permet aux utilisateurs de gérer les technologies d'atténuation de sécurité ayant pour but de rendre difficile l'exploitation des vulnérabilités dans une partie de logiciel donnée. L'EMET permet d'atténuer cette vulnérabilité dans Microsoft Office sur les systèmes où il est installé et configuré pour fonctionner avec le logiciel Microsoft Office.

Pour plus d'informations sur l'EMET, consultez la page consacrée à l'EMET (en anglais).

Actions suggérées

Appliquer des solutions de contournement

Le terme « solution de contournement » fait référence à une modification de paramètre ou de configuration qui ne corrige pas le problème sous-jacent mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce qu'une mise à jour de sécurité soit disponible. Pour plus d'informations, consultez la section suivante, « Solutions de contournement ».

Solutions de contournement

  • Appliquer la solution Fix it de Microsoft « Disable opening RTF content in Microsoft Word », qui empêche l'exploitation de ce problème

    Consultez l'Article 2953095 de la Base de connaissances Microsoft pour utiliser la solution automatisée Fix it de Microsoft afin d'activer ou de désactiver cette solution de contournement.

    Remarque : Cette solution Fix it de Microsoft configure la stratégie de blocage des fichiers de Microsoft Office pour empêcher l'ouverture des fichiers RTF dans les versions en cours de support de Microsoft Word.

  • Lire les messages électroniques au format texte brut

    Pour vous protéger contre le vecteur d'attaque par message électronique, lisez les messages électroniques au format texte brut.

    Microsoft Outlook 2003, Microsoft Outlook 2007, Microsoft Outlook 2010 et Microsoft Outlook 2013 fournissent une option de lecture des messages électroniques au format texte brut. Pour plus d'informations sur l'option Lire tous les messages standard au format texte brut, consultez l'Article 831607 de la Base de connaissances Microsoft ainsi que l'article « Lire les courriers électroniques au format texte brut ».

    Les utilisateurs de Microsoft Office Outlook 2002 ayant appliqué Office XP Service Pack 1, Office XP Service Pack 2 ou Office XP Service Pack 3 peuvent activer ce paramètre et afficher au format texte brut uniquement les messages électroniques qui ne sont ni chiffrés, ni signés numériquement. Les messages signés numériquement ou chiffrés ne sont pas affectés par ce paramètre et peuvent être lus dans leur format d'origine. Pour plus d'informations sur l'activation de ce paramètre dans Outlook 2002, consultez l'Article 307594 de la Base de connaissances de Microsoft.

    Impact de cette solution de contournement. Les messages lus au format texte brut ne contiendront pas d'images, de polices spécifiques, d'animations ni d'autres types de contenu riche. Par ailleurs, le comportement suivant pourrait être rencontré :

    • Les modifications sont appliquées au volet de visualisation et aux messages ouverts.
    • Les images sont transformées en pièces jointes pour ne pas être perdues.
    • Le message demeurant au format RTF (Rich Text Format) ou HTML dans le magasin, le modèle objet (solutions de code personnalisées) peut se comporter de façon inattendue.
  • Adopter la stratégie de blocage des fichiers Microsoft Office pour empêcher l'ouverture des fichiers au format RTF dans Microsoft Word 2007, Microsoft Word 2010 et Microsoft Word 2013

    Vous pouvez bloquer l'ouverture et l'enregistrement de certains types de fichiers dans Excel, PowerPoint et Word en modifiant les paramètres de la Stratégie de groupe ou de l'Outil de personnalisation Office (OPO). Pour plus d'informations sur la façon d'empêcher des utilisateurs d'ouvrir certains types de fichiers dans Microsoft Office, consultez l'article dédié à la planification des paramètres de blocage des fichiers pour Office (en anglais).

    Pour utiliser le blocage des fichiers afin de protéger votre système contre l'exploitation de cette vulnérabilité, configurez le blocage des fichiers RTF pour les versions affectées de Microsoft Word.

  • Utiliser la stratégie de blocage des fichiers Microsoft Office pour empêcher l'ouverture des fichiers RTF dans Microsoft Word 2003

    Remarque : Une modification incorrecte du Registre peut générer des problèmes sérieux pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant d'une modification incorrecte du Registre pourront être résolus. Vous modifiez le Registre à vos risques et périls.

    Pour Office 2003

    Les scripts de Registre suivants peuvent être utilisés pour paramétrer la stratégie de blocage de fichiers.

    Windows Registry Editor Version 5.00
    [HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Security\FileOpenBlock]
    "RtfFiles"=dword:00000001
    

    Remarque : afin d'utiliser FileOpenBlock avec Microsoft Office 2003, toutes les mises à jour de sécurité les plus récentes pour Microsoft Office 2003 doivent être appliquées.

    Impact de cette solution de contournement. Pour Microsoft Office 2003, les utilisateurs ayant configuré la stratégie de blocage des fichiers sans avoir configuré un répertoire exempté spécial ou déplacé les fichiers dans un emplacement de confiance ne pourront pas ouvrir de fichiers RTF. Pour plus d'informations concernant l'impact de la définition de blocage des fichiers le logiciel Microsoft Office, consultez l'Article 922850 de la Base de connaissances Microsoft.

    Comment annuler cette solution de contournement.

    Pour Office 2003

    Windows Registry Editor Version 5.00
    [HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Security\FileOpenBlock]
    "RtfFiles"=dword:00000000
    
  • Déployer Enhanced Mitigation Experience Toolkit

    EMET (Enhanced Mitigation Experience Toolkit) contribue à atténuer l'exploitation de cette vulnérabilité en ajoutant des couches de protection supplémentaires qui rendent l'exploitation de cette vulnérabilité plus difficile. EMET 3.0 et EMET 4.1 sont officiellement pris en charge par Microsoft. À l'heure actuelle, EMET est uniquement disponible en langue anglaise. Pour plus d'informations, consultez l'Article 2458544 de la Base de connaissances Microsoft.

    Pour plus d'informations à propos de la configuration d'EMET, consultez le Guide de l'utilisateur d'EMET :

    • Sur les systèmes 32 bits, le Guide de l'utilisateur d'EMET se trouve dans C:\Program Files\EMET\EMET User's Guide.pdf
    • Sur les systèmes 64 bits, le Guide de l'utilisateur d'EMET se trouve dans C:\Program Files (x86)\EMET\EMET User's Guide.pdf

    Configurer EMET 4.1 pour les applications Microsoft Office

    EMET 4.1, dans la configuration recommandée, est automatiquement configuré pour protéger les logiciels concernés installés sur votre système. Aucune étape supplémentaire n'est nécessaire.

    Configurer EMET 3.0 pour les applications Microsoft Office à partir de l'interface utilisateur d'EMET

    Pour ajouter une application Office à la liste des applications utilisant EMET 3.0, procédez comme suit. Vous devez le faire pour chacun des exécutables suivants des applications Office :

    • Word.exe
    • Outlook.exe
    • wordview.exe

    Pour lancer EMET, cliquez sur Démarrer, Tous les programmes, Enhanced Mitigation Experience Toolkit et EMET 3.0. Puis, procédez comme suit pour chacun les logiciels concernés :

    1. Cliquez sur Oui dans l'invite du Contrôle de compte d'utilisateur, cliquez sur Configure Apps (Configurer les applications), puis sélectionnez Add (Ajouter). Accédez à l'application à configurer dans EMET.
    2. Cliquez sur OK et quittez EMET.

    Pour les versions 32 bits des logiciels Microsoft Office sur les systèmes d'exploitation Windows 64 bits, les chemins d'accès des fichiers sont les suivants :

    Pour Office 2003 : %ProgramFiles(x86)%\Microsoft Office\Office11\
    Pour Office 2007 : %ProgramFiles(x86)%\Microsoft Office\Office12\
    Pour Office 2010 : %ProgramFiles(x86)%\Microsoft Office\Office14\
    Pour Office 2013 : %ProgramFiles(x86)%\Microsoft Office\Office15\

    Pour les versions 32 bits des logiciels Microsoft Office sur les systèmes d'exploitation Windows 32 bits, les chemins d'accès des fichiers sont les suivants :

    Pour Office 2003 : %ProgramFiles%\Microsoft Office\Office11\
    Pour Office 2007 : %ProgramFiles%\Microsoft Office\Office12\
    Pour Office 2010 : %ProgramFiles%\Microsoft Office\Office14\
    Pour Office 2013 : %ProgramFiles%\Microsoft Office\Office15\

    Pour les versions 64 bits des logiciels Microsoft Office, les chemins d'accès des fichiers sont les suivants :

    Pour Office 2010 : %ProgramFiles%\Microsoft Office\Office14\
    Pour Office 2013 : %ProgramFiles%\Microsoft Office\Office15\

    Configurer EMET 3.0 pour les applications Microsoft Office à partir d'une ligne de commande

    Activez les exécutables suivants des applications Office dans tous les facteurs atténuants d'EMET 3.0 :

    • Word.exe

    • Outlook.exe

    • wordview.exe

    • Exécutez les commandes suivantes à partir d'une invite de commande avec privilèges élevés :

      Pour les versions 32 bits des logiciels Microsoft Office :

      "C:\Program Files\EMET\EMET_Conf.exe" --set "*\Microsoft Office\Office1*\<nom de fichier de l'application Office>.exe"

      OU

      "C:\Program Files(x86)\EMET\EMET_Conf.exe" --set "*\Microsoft Office\Office1*\<nom de fichier de l'application Office>.exe"

      Pour les versions 64 bits des logiciels Microsoft Office :

      "C:\Program Files\EMET\EMET_Conf.exe" --set "*\Microsoft Office\Office1*\<nom de fichier de l'application Office>.exe"

    • Une fois cela effectué, le message suivant s'affiche :

      "The changes you have made may require restarting one or more applications"

    Configurer EMET pour les applications Microsoft Office à l'aide de la Stratégie de groupe

    EMET peut être configuré à l'aide de la Stratégie de groupe. Pour obtenir des informations à propos de la configuration d'EMET à l'aide de la Stratégie de groupe, consultez le Guide de l'utilisateur d'EMET :

    Pour EMET 4.1 :

    • Sur les systèmes 32 bits, le Guide de l'utilisateur d'EMET se trouve dans C:\Program Files\EMET 4.1\EMET User's Guide.pdf
    • Sur les systèmes 64 bits, le Guide de l'utilisateur d'EMET se trouve dans C:\Program Files (x86)\EMET 4.1\EMET User's Guide.pdf

    Pour EMET 3.0 :

    • Sur les systèmes 32 bits, le Guide de l'utilisateur d'EMET se trouve dans C:\Program Files\EMET\EMET User's Guide.pdf
    • Sur les systèmes 64 bits, le Guide de l'utilisateur d'EMET se trouve dans C:\Program Files (x86)\EMET\EMET User's Guide.pdf

    Remarque : Pour plus d'informations à propos de la Stratégie de groupe, consultez l'article consacré à la collection Stratégie de groupe (en anglais).

Actions supplémentaires suggérées

  • Protégez votre PC

    Nous encourageons nos clients à suivre les conseils de la section Protégez votre ordinateur concernant l'activation d'un pare-feu, l'obtention de mises à jour logicielles et l'installation de logiciels antivirus. Pour plus d'informations, consultez le Centre de sécurité Microsoft.

  • Veillez à mettre à jour régulièrement vos logiciels Microsoft

    Nous recommandons aux utilisateurs de logiciels Microsoft d'installer les dernières mises à jour de sécurité Microsoft pour protéger au maximum leur ordinateur. Pour ce faire, rendez-vous sur Microsoft Update, effectuez la vérification des mises à jour requises pour votre ordinateur et installez toutes les mises à jour prioritaires qui vous sont proposées. Si vous avez activé et configuré les mises à jour automatiques de façon à recevoir les mises à jour pour les produits Microsoft, les mises à jour vous sont fournies à leur publication, mais nous vous conseillons de vérifier qu'elles sont installées.

Autres informations

Remerciements

Microsoft remercie les organismes ci-dessous pour avoir contribué à la protection de ses clients :

  • Drew Hintz, Shane Huntley et Matty Pellegrino de l'équipe Sécurité Google pour avoir signalé la vulnérabilité de corruption de mémoire liée au format RTF dans Word (CVE-2014-1761).

Microsoft Active Protections Program (MAPP)

Pour améliorer la protection de ses clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ainsi utiliser ces informations pour fournir des protections mises à jour à leurs clients via leurs logiciels ou périphériques de sécurité, tels que les antivirus et les systèmes de détection ou de prévention d'intrusion basés sur le réseau ou sur les hôtes. Pour déterminer si des protections actives sont disponibles, visitez les sites Web des partenaires fournisseurs de logiciels de sécurité, répertoriés sur la page Microsoft Active Protections Program (MAPP) Partners (en anglais).

Commentaires

  • Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web Aide et Support Microsoft : Customer Service Contact Us (en anglais).

Support technique

Dédit de responsabilité

Les informations contenues dans cet Avis sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (24 mars 2014) : Avis publié.

Built at 2014-04-18T13:49:36Z-07:00