CVE-2012-1854 : chargement non sécurisé de librairie dans Microsoft VBA

Danger

Cette vulnérabilité est activement exploitée (CISA KEV).

Note

Résumé Exécutif (TL;DR)

La CVE-2012-1854 est une vulnérabilité de type “Untrusted Search Path” critique affectant le composant VBE6.dll de Microsoft Office (versions 2003, 2007, 2010). En exploitant un chargement de librairie non sécurisé, un attaquant peut forcer l’application à charger une DLL malveillante placée dans le répertoire de travail actuel, permettant ainsi une exécution de code arbitraire avec les privilèges de l’utilisateur. Cette vulnérabilité est confirmée comme exploitée (CISA KEV).

Analyse Technique

La faille réside dans la manière dont VBE6.dll gère le chargement des librairies dynamiques. Lorsqu’une application Office initie une requête, elle cherche les librairies nécessaires dans des chemins définis par le répertoire de travail courant du processus. Si un attaquant place une DLL malveillante aux côtés d’un document (ex: .docx), l’application privilégie par erreur la DLL malveillante présente localement par rapport à la DLL légitime du système.

Flux d’Exploitation

1. Préparation : l’attaquant crée une DLL malveillante avec le même nom qu’une bibliothèque légitime attendue par le composant VBA.
2. Livraison : l’attaquant incite la victime à ouvrir un répertoire contenant la DLL malveillante et un document Office apparemment inoffensif.
3. Exécution : à l’ouverture du document, l’application initialise l’environnement VBA, tente de charger la DLL légitime, et exécute finalement le code malveillant présent dans la bibliothèque locale.

Investigation Forensique

1. Analyse des journaux : inspectez les journaux d’événements Windows pour l’événement ID 7 (Image chargée) où le chemin ImageLoaded est inhabituel (pas dans System32).
2. Analyse des artefacts : identifiez toute DLL créée dans les répertoires utilisateurs (Téléchargements, Documents) correspondant aux horodatages d’accès aux documents Office.
3. Surveillance des processus : analysez les relations père-fils où WINWORD.EXE ou EXCEL.EXE chargent des bibliothèques externes non signées.

Détection

• Détection Sigma (Règle) : focus sur les événements ImageLoad avec des chemins non standards.
• Threat Hunting (KQL) : DeviceImageLoadEvents | where FileName endswith "VBE6.dll" | where FolderPath !startswith "C:\\Windows\\System32"

Mitigation

• Appliquez les correctifs de sécurité fournis par l’éditeur (MS12-046).
• Mettez en œuvre des politiques de contrôle d’application strictes.
• Désactivez les macros VBA via stratégie de groupe (GPO) si elles ne sont pas nécessaires pour les processus métier.

SOURCES

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1854
• https://nvd.nist.gov/vuln/detail/CVE-2012-1854
• https://docs.microsoft.com/en-us/security-updates/securitybulletins/2012/ms12-046