Pièces jointes dangereuses et logiciels malveillants dans les documents Office: comment l’infection commence
🕒
L’ouverture de pièces jointes malveillantes insérées dans les messages électroniques reste aujourd’hui l’un des vecteurs d’infection les plus courants, même dans l’environnement professionnel et d’entreprise. Pour chaque fichier téléchargé à partir de systèmes distants (par exemple, des fichiers publiés sur des sites Web ou joints à des e-mails), Windows attribue automatiquement un attribut – dit Zone.Identifier -.
Cliquez avec le bouton droit sur un fichier téléchargé localement et choisissez Propriété, pour les éléments provenant de systèmes distants, Windows affichera le message « Le fichier provient d’un autre ordinateur. Pour aider à protéger votre ordinateur, il est peut-être verrouillé« .
Cela signifie que contrairement aux fichiers produits sur votre PC, l’élément sélectionné sera gérable par défaut en mode « lecture seule » et les « éléments actifs » présents dans le document ne seront pas activés par défaut.
Les documents malveillants au format Office (Word, Excel, PowerPoint, …) transmis via Internet, contiennent des macros ou tout autre code qui, s’il est exécuté, active le téléchargement et l’exécution de malware ainsi que l’installation du dangereux ransomware.
Le ou drapeau Zone.Identifier il est géré au niveau du système de fichiers NTFS, comme nous l’avons vu dans l’article NTFS, astuces et secrets du système de fichiers le plus utilisé avec Windows. En fait, en tapant à l’invite de commande (cmd; à partir d’un type de fenêtre PowerShell en premier cmd et appuyez sur Entrée) ce qui suit lira même l’URL à partir de laquelle le fichier a été récupéré ou à propos: internet dans le cas de pièces jointes à des e-mails:plus < d: temp test.docx: Zone.Identifier
À la place de d: temp test.docx il faut évidemment remplacer le chemin du fichier à vérifier.
Lorsque vous ouvrez un document à partir d’une source potentiellement non digne de confiance, les applications Office affichent les fichiers en lecture seule (« Vue protégée« ). Uniquement en cliquant sur le bouton Activer la modification il sera possible d’intervenir sur le contenu d’un fichier en s’assurant qu’il provient d’une source fiable et qu’il est sûr.
Dans le cas où le document contient des macros ou en tout cas du code qui demande à être exécuté automatiquement, le « Vue protégée« en haut de la fenêtre affichera le bouton Autoriser le contenu. Dans ce cas, nous suggérons de se déplacer avec les pieds de tête proverbiaux et de ne pas permettre l’exécution du code sinon avec la certitude absolue sur la « bonté » du document (voir aussi cette page sur le site de Microsoft).
Il convient également de garder à l’esprit que lorsqu’un utilisateur autorise l’édition du document ou le téléchargement de macros, le document lui-même est indiqué comme « fiable« dans une clé particulière du registre.
Selon qu’il s’agit de documents Word ou Excel, les clés auxquelles se référer sont les suivantes:
HKEY_CURRENT_USER Software Microsoft Office [versione_office] Word Security Trusted Documents TrustRecords
HKEY_CURRENT_USER Software Microsoft Office [versione_office] Excel Security Trusted Documents TrustRecords
Dans ces clés sont ajoutés tous les documents pour lesquels l’utilisateur a accepté la modification et / ou l’exécution de macros avec un horodatage. Les quatre derniers octets indiquent l’action qui a été autorisée: par exemple, si vous avez choisi d’activer l’édition de document, les quatre derniers octets seront mis à 01 00 00 00. La présence de FF FF FF 7F indique que l’exécution de la macro a été activée.
À partir de l’invite de commande, essayez d’abord de taper requête de registre « HKCU Software Microsoft Office » pour une liste des versions d’Office installées.
L’écriture requête de registre « HKCU Software Microsoft Office 16.0 Word Security Trusted Documents TrustRecords » vous obtiendrez la liste des documents autorisés par l’utilisateur actuellement en cours d’utilisation.
Il suffira évidemment de remplacer un Mot, par example, Exceller ou alors Power Point connaître les autres types de documents jugés fiables.
Depuis n’importe quel programme de la suite Office, pour supprimer la liste des documents indiqués comme « fiables », tu peux choisir Fichier, Options, cliquer sur Centre de confiance, sur le bouton Paramètres du centre de confiance, en haut Documents de confiance puis sur Annuler.
Découvrez d’avantage plus d’articles dans nos catégories windows, productivité ou encore Ordinateurs et internet.
Finalement Merci pour votre visite on espère que notre article Pièces jointes dangereuses et logiciels malveillants dans les documents Office: comment l’infection commence
vous aide, pour nous aider, on vous invite à partager l’article sur Facebook, instagram et e-mail avec les hashtag ☑️ #Pièces #jointes #dangereuses #logiciels #malveillants #dans #les #documents #Office #comment #linfection #commence ☑️!