Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Outlook – Comment se protéger de cette manip qui permet de contourner les systèmes de protection ?

Kevin Beaumont, un chercheur en sécurité basé à Liverpool (Royaume-Uni) a trouvé un moyen de faire passer des exécutables (y compris malicieux) dans un email sans éveiller les soupçons des firewalls ou autres systèmes de protection.

Pour cela, il commence à créer un email dans Outlook 2013 ou supérieur, et il insère dans celui-ci un objet (OLE) de type Package. Cet objet peut être n’importe quel exécutable présent sur votre disque dur.

ff2

Ensuite, il enregistre ce mail au format .msg et l’insère dans un nouveau mail qu’il peut alors envoyer. Le destinataire reçoit alors le mail, ouvre la pièce jointe en .msg, découvre le fichier .exe attaché déguisé en document Word, Excel ou autre (Oui, on peut changer l’icône au moment de l’insertion du package), le lance et PAF !

ff3

On peut personnaliser l’icône du fichier attaché

ff1

Voici un fichier attaché qui ressemble à un .docx mais qui est en réalité, une version portable de Firefox

C’est moche non ? Les filtres qui vérifient la présence de .exe ne détectent pas cette manœuvre. Alors, comment faire pour s’en protéger ? Et bien il existe plusieurs solutions…

  • 1/ Faire de la liste blanche d’application. C’est très contraignant, mais ça permet de lancer uniquement certaines applications prédéfinies et de bloquer toutes les autres.
  • 2/ Aller dans la base de registre, et créer une clé DWORD ShowOLEPackageObj à 0 dans HKEY_CURRENT_USERSOFTWAREMicrosoftOfficexx.0OutlookSecurity afin de désactiver la fonction OLE Package d’Outlook. Malheureusement, celle-ci sera toujours active dans Word, Excel ou PowerPoint.ff4
  • 3/ Utiliser Microsoft EMET ou équivalent et ajouter la règle suivante en ce qui concerne l’application Outlook.exe pour bloquer la dll packager.dll

<Mitigation Name= »ASR » Enabled= »true »>
<asr_modules>packager.dll</asr_modules>
</Mitigation>

Espérons que Microsoft corrige son application pour éviter ce genre de chose. En attendant, vous êtes au courant et vous pouvez prévenir plutôt que guérir !


Sélection Logitech – Jusqu’à -55% du 16 au 22 septembre.

Souris, claviers ou encore webcams

Du 16 septembre au 22 septembre, Logitech équipe tous ceux qui veulent booster leurs rentrées avec du bon et nouveau matos

Tous les best sellers de la marque Suisse sont au rendez-vous, quelque soit la catégorie, bureautique, work ou gaming.
Retrover les casque Logitech G, les claviers Keys To Go ou MX keys ou encore les souris verticales MX Masters en promos.

En Savoir +



Réponses notables

  1. Yoav says:

    Oh sympa ! Pour la parathèse, @Korben tu pourrais dédier un article sur EMET car ce petit soft est vraiment inconnu du grand public. Franchement, personne ne le connait !

Continuer la discussion sur Korben Communauté

4 commentaires supplémentaires dans les réponses

Participants