CERTA-2002-AVI-132

Vulnerability from certfr_avis - Published: - Updated:

Un utilisateur mal intentionné peut composer un document Excel ou Word contenant des macros spécifiques permettant d'exécuter du code arbitraire sur la machine cible.

Description

Un module spécifique permet d'informer l'utilisateur de la présence d'une ou plusieurs macros lors de l'ouverture d'un document Excel ou Word. Un utilisateur mal intentionné peut, par le biais d'un document judicieusement composé, contourner ce module et exécuter des macros à l'insu de l'utilisateur.

Microsoft a créé le système DDE (Dynamic Data Exchange) pour pouvoir utiliser des données partagées entre plusieurs applications. Normalement, chaque application vérifie et informe l'utilisateur si une macro doit être exécutée. Mais il arrive qu'une macro soit exécutée dans un objet importé grâce à DDE sans que l'utilisateur n'en soit averti.

Quatre nouvelles vulnérabilités de ce type ont été découvertes :

  • Si un objet contenant une macro est importé dans une feuille de calcul Excel, le fait de cliquer sur cet objet exécute la macro sans que l'utilisateur n'en soit averti ;
  • si un dessin est pourvu d'un lien pointant sur une feuille de calcul Excel, une macro contenue dans cette feuille de calcul est exécutée sans que l'utilisateur n'en soit averti ;
  • si une feuille de calcul Excel au format XSL contient du script HTML, ce script est exécuté sans en avertir l'utilisateur ;
  • Word peut utiliser Access pour en extraire des données. Si la base Access contient une macro, celle-ci est exécutée sans en avertir l'utilisateur.

Ce type de vulnérabilité peut servir à exécuter du code arbitraire, comme par exemple des virus ou des chevaux de Troie.

Solution

Des correctifs sont disponibles en téléchargement sur le site web de Microsoft :

http://www.microsoft.com/technet/security/bulletin/MS02-031.asp
None
Impacted products
Vendor Product Description
Microsoft Windows Microsoft Office 2000 pour Windows ;
Microsoft Windows Microsoft Office XP pour Windows.
Microsoft Windows Microsoft Excel 2002 pour Windows ;
Microsoft Windows Microsoft Word 2002 pour Windows ;
Microsoft Windows Microsoft Excel 2000 pour Windows ;
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Microsoft Office 2000 pour Windows ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Office XP pour Windows.",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Excel 2002 pour Windows ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Word 2002 pour Windows ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Excel 2000 pour Windows ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nUn module sp\u00e9cifique permet d\u0027informer l\u0027utilisateur de la pr\u00e9sence\nd\u0027une ou plusieurs macros lors de l\u0027ouverture d\u0027un document Excel ou\nWord. Un utilisateur mal intentionn\u00e9 peut, par le biais d\u0027un document\njudicieusement compos\u00e9, contourner ce module et ex\u00e9cuter des macros \u00e0\nl\u0027insu de l\u0027utilisateur.  \n  \nMicrosoft a cr\u00e9\u00e9 le syst\u00e8me DDE (Dynamic Data Exchange) pour pouvoir\nutiliser des donn\u00e9es partag\u00e9es entre plusieurs applications.\nNormalement, chaque application v\u00e9rifie et informe l\u0027utilisateur si une\nmacro doit \u00eatre ex\u00e9cut\u00e9e. Mais il arrive qu\u0027une macro soit ex\u00e9cut\u00e9e dans\nun objet import\u00e9 gr\u00e2ce \u00e0 DDE sans que l\u0027utilisateur n\u0027en soit averti.  \n  \nQuatre nouvelles vuln\u00e9rabilit\u00e9s de ce type ont \u00e9t\u00e9 d\u00e9couvertes :\n\n-   Si un objet contenant une macro est import\u00e9 dans une feuille de\n    calcul Excel, le fait de cliquer sur cet objet ex\u00e9cute la macro sans\n    que l\u0027utilisateur n\u0027en soit averti ;\n-   si un dessin est pourvu d\u0027un lien pointant sur une feuille de calcul\n    Excel, une macro contenue dans cette feuille de calcul est ex\u00e9cut\u00e9e\n    sans que l\u0027utilisateur n\u0027en soit averti ;\n-   si une feuille de calcul Excel au format XSL contient du script\n    HTML, ce script est ex\u00e9cut\u00e9 sans en avertir l\u0027utilisateur ;\n-   Word peut utiliser Access pour en extraire des donn\u00e9es. Si la base\n    Access contient une macro, celle-ci est ex\u00e9cut\u00e9e sans en avertir\n    l\u0027utilisateur.\n\nCe type de vuln\u00e9rabilit\u00e9 peut servir \u00e0 ex\u00e9cuter du code arbitraire,\ncomme par exemple des virus ou des chevaux de Troie.\n\n## Solution\n\nDes correctifs sont disponibles en t\u00e9l\u00e9chargement sur le site web de\nMicrosoft :\n\n    http://www.microsoft.com/technet/security/bulletin/MS02-031.asp\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2002-AVI-132",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-06-21T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    },
    {
      "description": "Risque de propagation de virus"
    }
  ],
  "summary": "Un utilisateur mal intentionn\u00e9 peut composer un document Excel ou Word\ncontenant des macros sp\u00e9cifiques permettant d\u0027ex\u00e9cuter du code\narbitraire sur la machine cible.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans Excel et Word pour Windows",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 #MS02-031 de Microsoft",
      "url": "http://www.microsoft.com/technet/security/bulletin/MS02-031.asp"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.