19/06/01
Le
format de document RTF reste vulnérable
En mars dernier, un éditeur d'antivirus dévoilait l'existence
d'une faille dans RTF : un type de fichier en texte
enrichi géré notamment par Word. Selon lui, la faille
en question pouvait être utilisée pour véhiculer
des macro virus...
Quelques jours après cette alerte, Microsoft publiait
un nouveau correctif
sur son site. Proche du format Texte (.TXT), RTF (Rich
Text Format) permet de conserver les caractéristiques
principales d'une mise en page Word, tout en assurant
la compatibilité du document avec les différentes versions
du logiciel (Mac, PC, etc.). Généralement considéré
comme sûr, ce type de fichier est communément
utilisé pour l'envoi de pièces attachées.
L'éditeur d'antivirus russe Kaspersky
Lab vient d'annoncer la découverte du premier virus
exploitant la fameuse faille - plusieurs rapports lui
ayant été communiqués à ce sujet. Il s'agirait en fait
d'un cheval de Troie. Une information qui aurait été
confirmée par d'autres sociétés du secteur, telle que
Central Command notamment. Baptisé Goga, le virus est
classiquement véhiculé par e-mail sous forme de pièces
jointes.
Avec
Goga, la faille devient réalité
Concrètement
Goga s'appuie sur le système de macro de Word (script
permettant d'automatiser certaines taches) pour enregistrer
le cheval de Troie sur le système d'exploitation cible.
Explication : théoriquement, le logiciel de traitement
de texte est capable d'alerter un utilisateur lorsque
celui-ci cherche à exécuter un modèle de fichier Macro.
Une procédure importante puisque qu'une Macro
peut permettre d'avoir accès aux ressources système
du PC sur lequel elle est exécutée. En fait, la faille
de sécurité découverte en mars autorise une exécution
sans passer par ce processus d'alerte préalable,
si le document de base est au format RTF...
Une fois lancée, la macro extrait du fichier .rtf un
code binaire qui va se charger de retrouver les informations
de connexion (compte et mot de passe), puis de les stocker
dans un fichier texte. Pour finir, Goga lance un script
qui envoie ce contenu sur le livre d'or d'un site Web,
sur lequel il sera récupéré par
le créateur du virus.
|