Secu

Microsoft place un antivirus au cœur d’Office

Par Laurent Delattre, publié le 14 septembre 2018

Face à l’augmentation des menaces colportées par les fichiers bureautiques et la technicité croissante de celles-ci, Microsoft vient de mettre à jour sa suite Office 365 afin de renforcer ses capacités d’interaction avec les antivirus et améliorer la détection des macros malveillantes.

Les fichiers de bureautique ont toujours été des vecteurs de menaces, soit au travers de liens cliquables qui redirigent l’utilisateur vers des malwares en ligne ou des pages de phishing, soit au travers des macros malveillantes qu’ils peuvent contenir. Rappelons que les macros sont des petits programmes, écrits en VBA (Visual Basic for Applications) et incorporés aux documents, très utilisés pour automatiser certaines tâches métiers au sein même des documents bureautiques.
Ces dernières années, Microsoft a multiplié les défenses en créant par exemple un format spécial pour les fichiers embarquant des macros (les fichiers .docm, .xlsm, . pptm) et surtout en interdisant par défaut toute exécution de macros et en encourageant les entreprises ayant besoin de cette fonctionnalité à n’autoriser que l’exécution de macros signées numériquement. Des protections que certaines entreprises n’hésitent parfois pas à désactiver pour se simplifier au détriment de la sécurité et des bonnes pratiques.

À nouvelles techniques d’attaque…

Un temps délaissées par les cybercriminels, les attaques par macros malveillantes connaissent un regain d’activité depuis deux ans. Les attaquants ont en effet trouvé de nouvelles techniques pour biaiser les protections en place. L’une d’elles consiste à combiner macros et attaques « Fileless ».
Les attaques « Fileless » utilisent une vulnérabilité de la machine pour exécuter du code directement en mémoire sans jamais rien écrire sur disque. Et ces attaques restent actives en mémoire tant que l’ordinateur n’est pas redémarré. Elles sont utilisées pour, par exemple, venir cacher du code « obfusqué » (rendu illisible) au sein du code des macros existantes dans les documents ou même venir cacher du code dans certaines zones des documents (cellules, zone de texte, etc.).
Ces techniques sont aussi beaucoup utilisées pour exécuter des scripts PowerShell en mémoire ou infecter du code JavaScript au sein de pages Web et y placer du code malveillant.

… nouveau rideau défensif

C’est notamment pourquoi Microsoft a introduit dans Windows 10 une protection dénommée « AMSI » (Antimalware Scan Interface). Celle-ci consiste à systématiquement appeler l’antivirus installé sur la machine (à condition que celui-ci soit compatible avec AMSI) pour lui faire analyser le buffer mémoire juste avant l’exécution d’une instruction système par le code script. Cette protection donne aux antivirus l’opportunité d’analyser les commandes à risque juste avant leur exécution et augmente donc les chances de ces derniers de détecter un comportement malveillant. Jusqu’ici AMSI n’était activé que lors de l’exécution de scripts JavaScript, PowerShell ou VBScript.

Office se lie aux antivirus

Avec la dernière mise à jour des applications Office 365 pour Windows, Microsoft a étendu AMSI à Word, PowerPoint, Excel et Outlook. Désormais, chaque fois qu’une macro tente d’appeler une fonction critique du système (telle que CreateProcess ou ShellExecute), la suite bureautique interrompt l’exécution de la macro et active AMSI pour que l’antivirus installé ait l’opportunité d’analyser ce que cette macro essaye réellement de réaliser ou de lancer. Si l’antivirus détecte la moindre menace, il en informe la suite Office qui bloque alors définitivement l’exécution de la macro infectée.

Windows Defender, l’antivirus intégré à Windows 10, est bien évidemment compatible AMSI. C’est aussi le cas des dernières générations d’antivirus de Kaspersky, Symantec, Trend Micro, Avira, Avast, etc. D’où l’importance d’être à jour dans ses licences antivirales afin de profiter de ce support devenu essentiel d’AMSI.

Avec cette fonctionnalité de sécurité, Microsoft remonte significativement le niveau de sécurité de sa suite collaborative. Mais cela ne doit pas pour autant empêcher les administrateurs d’appliquer les bonnes pratiques et de désactiver toute exécution de macros non signées sur les postes qui n’en ont pas expressément besoin.

Dans l'actualité

Verified by MonsterInsights