[Info ZATAZ] – Une vulnérabilité RCE de Microsoft Office Word mise en vente

Posted On 02 Fév 2024

Tag: 0day, RCE Microsoft Office Word, Remote Code Execution

ZATAZ a découvert une vente de zéro-day [0Day] concernant une vulnérabilité RCE (Remote Code Execution) pour Microsoft Office Word, avec un prix de départ de 150 000 $.

NOS ACTUALITÉS, PAR COURRIEL

Recevez gratuitement, le samedi, LES ACTUS ZATAZ de la semaine écoulée.

Une information alarmante repérée par ZATAZ circule dans un espace de pirates informatiques russophones, mettant en lumière la vente d’une vulnérabilité RCE (Remote Code Execution) touchant les versions 2013, 2016 et 2019 de Microsoft Office Word. Si cette vulnérabilité s’avère réelle, elle représente une menace sérieuse pour la sécurité des utilisateurs de ces logiciels.

Une menace grave pour la sécurité La vulnérabilité RCE est une faille qui pourrait permettre à une personne malveillante d’exécuter du code à distance sur les systèmes utilisant les versions spécifiques de Microsoft Office Word mentionnées ci-dessus. Les conséquences de son exploitation pourraient être dévastatrices, exposant les utilisateurs à des risques de vol de données sensibles, de manipulation de fichiers, voire de compromission totale de leurs systèmes. Il est donc essentiel de prendre des mesures immédiates pour remédier à cette situation. Cependant, il est crucial de connaître la faille et la manière dont elle est exploitée. Le pirate explique : « Elle ne fonctionne pas avec Office 365, l’exploit ne peut pas fonctionner partout pour tout le monde !« .

Pour 150 000$

Détails de la vente Selon les informations fournies par le vendeur, cette vulnérabilité RCE permet d’exécuter une commande PowerShell et a été testée avec succès sur les systèmes d’exploitation Windows 7, 10 et 11. Il est important de noter que cette vulnérabilité ne concerne que les versions d’Office 2013, 2016 et 2019. Elle n’est pas applicable à Office 365. Des preuves ont été diffusées, zataz vous en présente une, dans la page vidéo YouTube ZATAZ.

La vente de cette vulnérabilité est réservée aux membres du forum ayant une réputation établie, ce qui démontre la nécessité d’une certaine confiance entre l’acheteur et le vendeur. Les détails techniques ne seront révélés qu’à l’acheteur et uniquement lors de la transaction, pour des raisons évidentes de sécurité. Le vendeur indique passer par un « banquier », celui du forum, garantissant ainsi la transaction et renforçant le fait que cette faille est réelle.

ZATAZ a constaté que le prix actuel de cette vulnérabilité s’élève à 150 000 $, payable en bitcoins.

C’est la cinquième grosse vente repérée par ZATAZ sur les black markets [exemples ici et là]. À première vue, les « inventeurs » ne veulent plus passer par des intermédiaires qui en ont fait un commerce. Peut-être que, pour les vendeurs, principalement russes, faire des affaires à Dubaï ou en Asie pourrait entraîner la faille entre les mains de parties qu’ils considèrent comme ennemies de la Russie ?

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.