Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2000-AVI-042

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 04 septembre 2000
No CERTA-2000-AVI-042

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Vulnérabilité dans les extensions de fichiers sous Windows

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2000-AVI-042

Gestion du document


Tableau 1: gestion du document
Référence CERTA-2000-AVI-042
Titre Vulnérabilité dans les extensions de fichiers sous Windows
Date de la première version 04 septembre 2000
Date de la dernière version -
Source(s) Security Focus
Pièce(s) jointe(s) Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Contournement des protections anti virales

2 Systèmes affectés

Microsoft Office sous Windows 9x, NT 4.0 et 2000.

3 Résumé

Une personne mal intentionnée peut, en insérant des macros dans un document Office dont l'extension a été modifiée, contourner la protection de l'anti-virus.

4 Description

Sous Windows, chaque fichier porte une extension permettant l'ouverture du logiciel concerné par ce fichier (ex :  .doc, .txt ...). Si une extension de fichier est inconnue de l'OS, une boîte de dialogue s'affiche afin de sélectionner une application à utiliser.

Si un fichier est crée avec Microsoft Office, mais sauvegardé avec une extension inconnue, windows reconnaît néanmoins ce fichier et l'ouvre automatiquement avec le programme Office correspondant, Windows utilisant alors l'en-tête du fichier pour en déterminer le type.

D'autre part, la plupart des logiciels d'anti-virus, lors d'une vérification, mettent les fichiers infectés en quarantaine en modifiant leur extension. Ainsi lors de vérifications ultérieures l'anti-virus ne recontrôle pas ce fichier.

Si un utilisateur mal intentionné crée un fichier sous Office contenant un virus macro puis l'enregistre avec l'extension d'un fichier en quarantaine, il ne sera pas vérifié lors de l'exécution de l'antivirus et sera quand même ouvert par Office..

5 Solution

  • Concernant office :

    Il n'existe pas de correctif pour cette vulnérabilité, cependant lorsqu'il est bien configuré, Word ouvre une boîte de dialogue proposant à l'utilisateur le choix d'exécuter ou non les macros. Il est nécessaire d'activer ce type d'alerte.

    Sous Word :

    • Menu : Outil
    • Choix : Option
    • Onglet : Général
    • Sélectionner : Protection contre les virus contenus dans les macros.

    En résumé, si le lancement d'un fichier ayant une extension inconnue ouvre Office et présente la boite de dialogue concernant les macros, il est impératif de sélectionner « Ne pas ouvrir » afin d'éviter l'exécution de la macro.

  • Concernant l'anti-virus :

    Par défaut, les anti-virus sont paramètrés afin de ne pas scanner différents types d'extension de fichiers. Il est recommandé de supprimer ces types d'extension de la liste d'exclusion de votre anti-virus.

6 Documentation

Aucune documentation actuellement disponible.

Gestion détaillée du document

04 septembre 2000
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 16/05/2012