Excel exploité pour ses failles de sécurité en série

Les applications de la suite Microsoft Office sont décidément dans la ligne de mire des pirates. Après la découverte d’une faille critique « zero-day » (exploitable immédiatement en l’absence de correctifs de l’éditeur) dans Word il y a un mois (voir édition du 22 mai 2005), c’est au tour d’Excel de dévoiler ses vulnérabilités.

Selon la firme de sécurité Secunia qui a découvert la faille, le tableur de Microsoft pourrait servir de vecteur à la prise de contrôle distante du PC par des individus malintentionnés. Le problème toucherait plus particulièrement le fichier hlink.dll, qui est un composant de Windows, dont l’exploitation permettrait un dépassement de mémoire tampon.

Méfiance sur les fichiers Excel

A condition de cliquer sur un lien hypertexte particulièrement long, précise Christopher Budd, développeur au centre de sécurité de Microsoft (Microsoft Security Response Center) sur son blog. « Nous n’avons pas trouvé de méthode pour exploiter cette vulnérabilité en ouvrant simplement un document [Excel] : l’utilisateur doit localiser et cliquer sur un lien dans le document. » L’intervenant n’en recommande pas moins de n’ouvrir que les fichiers Excel dont l’utilisateur s’est assuré de la conformité de la source.

La semaine précédente, une autre faille « zero-day » avait été découverte dans Excel 2003, Excel Viewer 2003, Excel 2002, Excel 2000, ainsi que Excel 2004 Excel v. X pour Mac. Contrairement au problème précédent, la faille (liée à une validation impropre de la mémoire) permet d’infecter la machine victime dès l’ouverture d’un fichier Excel (reçu par e-mail ou téléchargé en ligne). L’exploitation de la vulnérabilité accorde les droits d’administrateur à l’attaquant qui peut alors prendre le contrôle du système à distance.

A ce jour, aucune des deux vulnérabilités « zero-day » qui affectent Excel n’a été corrigée. Selon Microsoft, si la première faille avait généré au moins un rapport d’attaque, la seconde n’aurait à ce jour fait aucune victime.