Quinze ans après sa découverte et son correctif, une faille PowerPoint que l’on pensait reléguée aux archives vient officiellement de faire son entrée dans le catalogue KEV tenu par la CISA.
En 2009, Microsoft publiait un correctif pour une vulnérabilité sévère dans PowerPoint. Référencée CVE-2009-0556 (CVSS 8.8), elle reposait sur une corruption de mémoire déclenchée par un fichier de présentation vérolé. À l’époque, les versions concernées étaient PowerPoint 2000, 2002, 2003 ainsi qu’Office 2004 pour Mac, aujourd’hui toutes obsolètes. Des années plus tard, cette faille que beaucoup considéraient comme affaire classée vient de refaire surface dans le catalogue des vulnérabilités activement exploitées maintenu par la CISA.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une vieille faille qui fait encore le bonheur des attaquants
Pour rappel, CVE-2009-0556 décrit une vulnérabilité d’exécution de code à distance dans PowerPoint. Pour comprendre de quoi il retourne, il faut savoir que lors de l’ouverture d’un fichier, le logiciel charge en mémoire les données qui décrivent les diapositives (texte, objets, mise en forme, etc.).
Dans ses versions vulnérables, une partie de ces données pouvait être copiée sans contrôle suffisant dans une zone mémoire trop petite, ce qui écrasait au passage des informations internes dont PowerPoint avait besoin pour fonctionner. En préparant son fichier, un attaquant pouvait donc remplacer ces informations par des valeurs pointant vers des instructions malveillantes. À l’ouverture du diaporama, le logiciel finissait par suivre ces indications trafiquées et exécutait ce code comme s’il s’agissait du sien, avec les droits de la session en cours.
À l’époque, la vulnérabilité avait été exploitée très vite. Dès le printemps 2009, le NVD recensait des attaques s’appuyant sur des présentations PowerPoint piégées utilisées pour installer des malwares sur des postes vulnérables. Dans la foulée, le CERT-FR publiait ses propres alertes, tandis que Microsoft identifiait le code d’exploitation contenu dans ces présentations sous la signature Exploit:Win32/Apptom et consacrait un bulletin spécifique à la faille, assorti d’un patch pour les versions encore supportées et d’une description des scénarios d’attaque observés.
En théorie, cette vulnérabilité aurait donc dû finir au Panthéon des failles Office exploitées à la fin des années 2000, corrigée depuis longtemps sur les postes actifs et reléguée aux oubliettes avec la fin de prise en charge des versions PowerPoint concernées. Le fait qu’elle réapparaisse aujourd’hui dans un catalogue de vulnérabilités exploitées en conditions réelles montre qu’une partie du parc n’a jamais été mise à niveau et continue de s’appuyer sur des versions d’Office obsolètes. Autrement dit, des entreprises ouvrent encore des présentations avec des logiciels qui n’auraient plus rien à faire en production.
Reprendre la main sur un parc Office vieillissant
Pour les équipes qui gèrent ces environnements, le retour de CVE-2009-0556 doit servir de signal de rattrapage. Avant même de parler de correctifs, il faut savoir où se trouvent les postes qui ouvrent encore des fichiers .ppt et .pps avec des versions anciennes de PowerPoint, inventorier les éditions d’Office réellement déployées, repérer les machines figées pour des raisons métiers et cartographier les usages qui s’appuient encore sur ces formats.
La priorité consiste ensuite à réduire ce parc ancien autant que possible. Lorsque c’est envisageable, basculez les postes concernés vers une version d’Office encore supportée, migrez les modèles de présentation et intégrez ces machines au cycle normal de mise à jour. Dans le cas contraire, il faut assumer que ces postes deviennent des zones à risque et les traiter comme telles : cloisonnement strict, accès limité aux partages de fichiers, restrictions fortes sur la messagerie et, si nécessaire, interdiction d’ouvrir des documents externes dans ces environnements.
CVE-2009-0556 rappelle enfin que la gestion des vulnérabilités ne se limite pas aux correctifs mensuels. Tant que des suites bureautiques héritées continuent d’ouvrir des documents provenant de l’extérieur, une vulnérabilité publiée il y a quinze ans garde un intérêt opérationnel pour les attaquants.
Source : CISA
