Selon l’avis de sécurité, cette vulnérabilité touche un large éventail de versions d’Office, notamment Office 2016, Office 2019, Office 2021 LTSC et Office 2024 LTSC. Cette faille peut être exploitée pour contourner les mécanismes de sécurité existants, ouvrant ainsi la voie à d’autres attaques contre le système.
Exploitation via les composants COM et OLE
Microsoft souligne que le problème doit être pris au sérieux, même si peu de détails techniques ont été divulgués pour l’instant concernant la méthode d’attaque exacte ou les conséquences concrètes pour les systèmes affectés.
Ce que l’on sait, c’est que cette faille permet aux attaquants de prendre le contrôle de composants COM et OLE. Ces technologies sont utilisées dans Windows pour permettre à différentes applications de communiquer entre elles. En prenant le contrôle de cette interaction, les personnes malveillantes pourraient s’introduire plus profondément dans le système ou contourner d’autres mesures de sécurité. Bien que Microsoft ne donne aucun exemple d’attaques en cours, la gravité de la faille suffit à recommander une action immédiate.
Les mises à jour sont automatiques (ou manuelles)
Les utilisateurs d’une version récente d’Office, telle qu’Office 2021 LTSC ou une version plus récente, recevront automatiquement la mise à jour de sécurité via Windows Update. Dans ce cas, il suffit généralement de redémarrer les applications Office. Une fois installée, Office devrait fonctionner avec le numéro de build 16.0.10417.20095. Il en va autrement pour les versions plus anciennes d’Office. Les utilisateurs d’Office 2016 et 2019 doivent télécharger manuellement la mise à jour via le catalogue Microsoft Update et l’installer eux-mêmes. Sans cette étape, le système reste vulnérable.
Dans les situations où la mise à jour n’est pas immédiatement possible, Microsoft propose une solution de contournement temporaire. Celle-ci nécessite toutefois des connaissances techniques et consiste à modifier le registre Windows. Les instructions à cet effet se trouvent dans la section « Mitigations » de l’avis de sécurité officiel. Microsoft souligne que cette solution n’est destinée qu’à servir de mesure d’urgence et ne remplace en aucun cas l’installation de la mise à jour.
Avec ce correctif d’urgence, Microsoft souligne une nouvelle fois l’importance de maintenir à jour les installations d’Office, en particulier face à des failles « zero-day » susceptibles d’être activement exploitées. Les utilisateurs d’Office dans un environnement professionnel ou sur des systèmes contenant des données sensibles ont tout intérêt à appliquer la mise à jour dès que possible.
