CERTA-2000-AVI-042

Vulnerability from certfr_avis - Published: - Updated:

Une personne mal intentionnée peut, en insérant des macros dans un document Office dont l'extension a été modifiée, contourner la protection de l'anti-virus.

Description

Sous Windows, chaque fichier porte une extension permettant l'ouverture du logiciel concerné par ce fichier (ex :  .doc, .txt ...). Si une extension de fichier est inconnue de l'OS, une boîte de dialogue s'affiche afin de sélectionner une application à utiliser.

Si un fichier est crée avec Microsoft Office, mais sauvegardé avec une extension inconnue, windows reconnaît néanmoins ce fichier et l'ouvre automatiquement avec le programme Office correspondant, Windows utilisant alors l'en-tête du fichier pour en déterminer le type.

D'autre part, la plupart des logiciels d'anti-virus, lors d'une vérification, mettent les fichiers infectés en quarantaine en modifiant leur extension. Ainsi lors de vérifications ultérieures l'anti-virus ne recontrôle pas ce fichier.

Si un utilisateur mal intentionné crée un fichier sous Office contenant un virus macro puis l'enregistre avec l'extension d'un fichier en quarantaine, il ne sera pas vérifié lors de l'exécution de l'antivirus et sera quand même ouvert par Office..

Solution

  • Concernant office :

    Il n'existe pas de correctif pour cette vulnérabilité, cependant lorsqu'il est bien configuré, Word ouvre une boîte de dialogue proposant à l'utilisateur le choix d'exécuter ou non les macros. Il est nécessaire d'activer ce type d'alerte.

    Sous Word :

    • Menu : Outil
    • Choix : Option
    • Onglet : Général
    • Sélectionner : Protection contre les virus contenus dans les macros.

    En résumé, si le lancement d'un fichier ayant une extension inconnue ouvre Office et présente la boite de dialogue concernant les macros, il est impératif de sélectionner « Ne pas ouvrir » afin d'éviter l'exécution de la macro.

  • Concernant l'anti-virus :

    Par défaut, les anti-virus sont paramètrés afin de ne pas scanner différents types d'extension de fichiers. Il est recommandé de supprimer ces types d'extension de la liste d'exclusion de votre anti-virus.

Microsoft Office sous Windows 9x, NT 4.0 et 2000.

Impacted products
Vendor Product Description
References
Security Focus None vendor-advisory

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eMicrosoft Office sous Windows 9x, NT 4.0 et 2000.\u003c/P\u003e",
  "content": "## Description\n\nSous Windows, chaque fichier porte une extension permettant l\u0027ouverture\ndu logiciel concern\u00e9 par ce fichier (ex :\u00a0 .doc, .txt ...). Si une\nextension de fichier est inconnue de l\u0027OS, une bo\u00eete de dialogue\ns\u0027affiche afin de s\u00e9lectionner une application \u00e0 utiliser.\n\nSi un fichier est cr\u00e9e avec Microsoft Office, mais sauvegard\u00e9 avec une\nextension inconnue, windows reconna\u00eet n\u00e9anmoins ce fichier et l\u0027ouvre\nautomatiquement avec le programme Office correspondant, Windows\nutilisant alors l\u0027en-t\u00eate du fichier pour en d\u00e9terminer le type.\n\nD\u0027autre part, la plupart des logiciels d\u0027anti-virus, lors d\u0027une\nv\u00e9rification, mettent les fichiers infect\u00e9s en quarantaine en modifiant\nleur extension. Ainsi lors de v\u00e9rifications ult\u00e9rieures l\u0027anti-virus ne\nrecontr\u00f4le pas ce fichier.\n\nSi un utilisateur mal intentionn\u00e9 cr\u00e9e un fichier sous Office contenant\nun virus macro puis l\u0027enregistre avec l\u0027extension d\u0027un fichier en\nquarantaine, il ne sera pas v\u00e9rifi\u00e9 lors de l\u0027ex\u00e9cution de l\u0027antivirus\net sera quand m\u00eame ouvert par Office..\n\n## Solution\n\n-   Concernant office :\n\n    Il n\u0027existe pas de correctif pour cette vuln\u00e9rabilit\u00e9, cependant\n    lorsqu\u0027il est bien configur\u00e9, Word ouvre une bo\u00eete de dialogue\n    proposant \u00e0 l\u0027utilisateur le choix d\u0027ex\u00e9cuter ou non les macros. Il\n    est n\u00e9cessaire d\u0027activer ce type d\u0027alerte.\n\n    Sous Word :\n\n    -   Menu : Outil\n    -   Choix : Option\n    -   Onglet : G\u00e9n\u00e9ral\n    -   S\u00e9lectionner : Protection contre les virus contenus dans les\n        macros.\n\n    En r\u00e9sum\u00e9, si le lancement d\u0027un fichier ayant une extension inconnue\n    ouvre Office et pr\u00e9sente la boite de dialogue concernant les macros,\n    il est imp\u00e9ratif de s\u00e9lectionner \u00ab Ne pas ouvrir \u00bb afin d\u0027\u00e9viter\n    l\u0027ex\u00e9cution de la macro.  \n      \n\n-   Concernant l\u0027anti-virus :\n\n    Par d\u00e9faut, les anti-virus sont param\u00e8tr\u00e9s afin de ne pas scanner\n    diff\u00e9rents types d\u0027extension de fichiers. Il est recommand\u00e9 de\n    supprimer ces types d\u0027extension de la liste d\u0027exclusion de votre\n    anti-virus.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2000-AVI-042",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2000-09-04T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement des protections anti virales"
    }
  ],
  "summary": "Une personne mal intentionn\u00e9e peut, en ins\u00e9rant des macros dans un\ndocument Office dont l\u0027extension a \u00e9t\u00e9 modifi\u00e9e, contourner la\nprotection de l\u0027anti-virus.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans les extensions de fichiers sous Windows",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Security Focus",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.