Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Outlook – Comment se protéger de cette manip qui permet de contourner les systèmes de protection ?

Kevin Beaumont, un chercheur en sécurité basé à Liverpool (Royaume-Uni) a trouvé un moyen de faire passer des exécutables (y compris malicieux) dans un email sans éveiller les soupçons des firewalls ou autres systèmes de protection.

Pour cela, il commence à créer un email dans Outlook 2013 ou supérieur, et il insère dans celui-ci un objet (OLE) de type Package. Cet objet peut être n’importe quel exécutable présent sur votre disque dur.

ff2

Ensuite, il enregistre ce mail au format .msg et l’insère dans un nouveau mail qu’il peut alors envoyer. Le destinataire reçoit alors le mail, ouvre la pièce jointe en .msg, découvre le fichier .exe attaché déguisé en document Word, Excel ou autre (Oui, on peut changer l’icône au moment de l’insertion du package), le lance et PAF !

ff3

On peut personnaliser l’icône du fichier attaché

ff1

Voici un fichier attaché qui ressemble à un .docx mais qui est en réalité, une version portable de Firefox

C’est moche non ? Les filtres qui vérifient la présence de .exe ne détectent pas cette manœuvre. Alors, comment faire pour s’en protéger ? Et bien il existe plusieurs solutions…

  • 1/ Faire de la liste blanche d’application. C’est très contraignant, mais ça permet de lancer uniquement certaines applications prédéfinies et de bloquer toutes les autres.
  • 2/ Aller dans la base de registre, et créer une clé DWORD ShowOLEPackageObj à 0 dans HKEY_CURRENT_USERSOFTWAREMicrosoftOfficexx.0OutlookSecurity afin de désactiver la fonction OLE Package d’Outlook. Malheureusement, celle-ci sera toujours active dans Word, Excel ou PowerPoint.ff4
  • 3/ Utiliser Microsoft EMET ou équivalent et ajouter la règle suivante en ce qui concerne l’application Outlook.exe pour bloquer la dll packager.dll

<Mitigation Name= »ASR » Enabled= »true »>
<asr_modules>packager.dll</asr_modules>
</Mitigation>

Espérons que Microsoft corrige son application pour éviter ce genre de chose. En attendant, vous êtes au courant et vous pouvez prévenir plutôt que guérir !


-30 % sur le Xiaomi Dreame XR Premium

Equipé du puissant moteur 100 k RPM 450 w développé par l’équipe aérospatiale de Dreame

Le Xiaomi Dreame XR est la version haut de gamme de son celebre Dreame V9. Cet aspirateur sans fil est équipé d’une batterie long life pour des sessions de ménages encore plus longue sans se soucier de savoir si il faut le recharger ou pas. Le Dreame XR peut atteindre jusqu’à 60 minutes de marche.

Full pack, cette nouvelle version débarque avec deux tubes de maintien, un solide et un souple pour atteindre n’importe quel espace, voitures, sous fauteuil ou hauteur de meubles etc…

En Savoir + sur ses caractéristiques



Réponses notables

  1. Yoav says:

    Oh sympa ! Pour la parathèse, @Korben tu pourrais dédier un article sur EMET car ce petit soft est vraiment inconnu du grand public. Franchement, personne ne le connait !

Continuer la discussion sur Korben Communauté

4 commentaires supplémentaires dans les réponses

Participants