Multiples vulnérabilités découvertes dans Microsoft Office

Date de publication :

De multiples vulnérabilités ont été corrigées dans Microsoft Office. Elles permettent à un attaquant de provoquer une élévation de privilèges, une atteinte à la confidentialité des données, une exécution de code à distance, une usurpation d'identité et un contournement de la fonctionnalité de sécurité.

CVE-2019-1448[Score CVSSv3 7.8] : Microsoft Excel est vulnérable à une exécution de code à distance lorsque celui-ci ne parvient pas à traiter correctement les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte de l’utilisateur connecté. Si l’utilisateur a ouvert une session avec des privilèges d’administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle d’un système affecté. L’attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d’administrateur.

L’exploitation de cette vulnérabilité nécessite qu’un utilisateur ouvre un fichier spécialement conçu avec une version concernée de Microsoft Excel. Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en persuadant celui-ci d’ouvrir le fichier. Dans le cas d’une attaque web, l’attaquant pourrait héberger un site web (ou exploiter un site web compromis qui accepte ou héberge du contenu provenant d’utilisateurs) contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer un utilisateur à visiter le site web. Il devrait le convaincre de cliquer sur un lien, généralement par le biais d'une sollicitation envoyée par message électronique ou message instantané, puis l’amener à ouvrir le fichier spécialement conçu.

CVE-2019-1449 [Score CVSSv3 9.8] :Une vulnérabilité a été découverte dans la façon dont les composants Office « Démarrer en un clic » (C2R) traitent certains fichiers spécialement conçus. Un attaquant pourrait exploiter cette vulnérabilité afin d’élever ses privilèges depuis ceux d’un utilisateur standard, ou d’un utilisateur dans le bac à sable (« sandbox AppContainer ») ou en mode protégé « LPAC d’Office » à ceux de SYSTEM (plus haut niveau de privilège en environnement Windows).

 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Contournement de la fonctionnalité de sécurité
    Atteinte à la confidentialité des données
    Exécution de code à distance
    Usurpation d'identité
    Élévation de privilèges

Criticité

    Score CVSS : 9.8 [Maximum]

Existence d’un code d’exploitation de la vulnérabilité

    Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

    Excel Services
    Microsoft Excel 2010 Service Pack 2 (éditions 32 bits)
    Microsoft Excel 2010 Service Pack 2 (éditions 64 bits)
    Microsoft Excel 2013 RT Service Pack 1
    Microsoft Excel 2013 Service Pack 1 (éditions 32 bits)
    Microsoft Excel 2013 Service Pack 1 (éditions 64 bits)
    Microsoft Excel 2016 (édition 32 bits)
    Microsoft Excel 2016 (édition 64 bits)
    Microsoft Excel 2016 pour Mac
    Microsoft Office 2010 Service Pack 2 (éditions 32 bits)
    Microsoft Office 2010 Service Pack 2 (éditions 64 bits)
    Microsoft Office 2013 RT Service Pack 1
    Microsoft Office 2013 Service Pack 1 (éditions 32 bits)
    Microsoft Office 2013 Service Pack 1 (éditions 64 bits)
    Microsoft Office 2016 (édition 32 bits)
    Microsoft Office 2016 (édition 64 bits)
    Microsoft Office 2016 pour Mac
    Microsoft Office 2019 pour Mac
    Microsoft Office 2019 pour éditions 32 bits
    Microsoft Office 2019 pour éditions 64 bits
    Microsoft Office Online Server
    Microsoft Project 2010 Service Pack 2 (éditions 32 bits)
    Microsoft Project 2010 Service Pack 2 (éditions 64 bits)
    Microsoft Project 2013 Service Pack 1 (éditions 32 bits)
    Microsoft Project 2013 Service Pack 1 (éditions 64 bits)
    Microsoft Project 2016 (édition 32 bits)
    Microsoft Project 2016 (édition 64 bits)
    Microsoft SharePoint Enterprise Server 2013 Service Pack 1
    Microsoft SharePoint Enterprise Server 2016
    Microsoft SharePoint Foundation 2010 Service Pack 2
    Microsoft SharePoint Foundation 2013 Service Pack 1
    Microsoft SharePoint Server 2019
    Office 365 ProPlus pour 64 bits Systems
    Office 365 ProPlus pour systèmes 32 bits
    Office Online Server

CVE

    CVE-2019-1261
    CVE-2019-1070
    CVE-2019-1448
    CVE-2019-1449
    CVE-2019-1259
    CVE-2019-1328
    CVE-2019-1262
    CVE-2019-1263
    CVE-2019-1457
    CVE-2019-1327
    CVE-2019-1443
    CVE-2019-1257
    CVE-2019-1330
    CVE-2019-1331
    CVE-2019-1260
    CVE-2019-1264
    CVE-2019-1402
    CVE-2019-1445
    CVE-2019-1246
    CVE-2019-1446
    CVE-2019-1329
    CVE-2019-1442
    CVE-2019-1447
    CVE-2019-1295
    CVE-2019-1297
    CVE-2019-1296

Solutions ou recommandations

Mise en place de correctif de sécurité

  • Il est recommandé de mettre à jour Office en appliquant le « Patch Tuesday » de novembre.

Solution de contournement

  • Aucune solution n'a été proposée autre que la mise à jour.

Liens