En réponse à une tendance croissante des attaques qui impliquent l’incorporation d’objets malveillants dans des documents Office à l’aide du contrôle Object Packager, Office a apporté une modification au modèle d’activation par défaut pour les objets Packager dans les applications Office.
Avant cette mise à jour, les exécutables ou les scripts (e.g. EXE, JS, VBS) incorporés à l’aide du contrôle Packager d’objets peuvent s’activer lorsqu’un utilisateur double-clique sur l’objet incorporé dans le document. Pour les objets considérés comme à haut risque par Windows, les utilisateurs voient un avertissement de sécurité comme indiqué ci-dessous.
Si l’utilisateur clique sur « Ouvrir », l’objet s’exécute avec les privilèges de l’utilisateur connecté. Les attaquants abusent de ce vecteur pour les utilisateurs de l’ingénieur social pour activer des programmes malveillants incorporés dans des documents Office en les persuadant de cliquer sur cette invite d’avertissement.
Pour protéger les utilisateurs, Microsoft 365 applications bloquent par défaut l’activation des objets considérés comme à haut risque. La liste des extensions bloquées sera la même que celle utilisée par Outlook pour bloquer les pièces jointes. La liste des extensions se trouve dans Pièces jointes bloquées dans Outlook.
À quoi ressemble ce comportement ?
Les applications Office n’autorisent plus l’activation d’objets liés à des extensions considérées comme à haut risque. Lorsqu’un utilisateur tente d’activer un tel objet, la notification suivante s’affiche :
Office a bloqué l’accès à l’objet incorporé suivant pour vous protéger.
Puis-je personnaliser les extensions bloquées ?
Oui, Office fournit deux options stratégie de groupe qui permettent à un administrateur de personnaliser les extensions bloquées. Vous trouverez chacun d’eux sous Office/Security Settings/.
Autoriser les extensions de fichier pour l’incorporation OLE
Ce paramètre de stratégie vous permet de spécifier les extensions de fichier qu’Office ne bloque pas lorsqu’elles sont incorporées en tant que package OLE dans un fichier Office à l’aide du contrôle Object Packager. Si vous activez ce paramètre de stratégie, entrez les extensions de fichier à autoriser, séparées par des points-virgules.
Par exemple : exe ; vbs ;js
Avertissement : Les scripts et exécutables malveillants peuvent être incorporés en tant que package OLE et peuvent causer des dommages si l’utilisateur clique dessus. Si des extensions sont ajoutées à cette liste verte, elles peuvent rendre Office moins sécurisé.
Bloquer les extensions de fichier supplémentaires pour l’incorporation OLE
Ce paramètre de stratégie vous permet de spécifier des extensions de fichier supplémentaires qu’Office bloque lorsqu’elles sont incorporées en tant que package OLE dans un fichier Office à l’aide du contrôle Object Packager.
Si vous activez ce paramètre de stratégie, entrez les extensions de fichier supplémentaires à bloquer, séparées par des points-virgules.
Par exemple : py ; Rb
Remarque : Si vous ajoutez une extension de fichier sous « Autoriser les extensions de fichier pour l’incorporation OLE » et « Bloquer les extensions de fichier pour l’incorporation OLE », l’extension est bloquée.
Comment faire modifier ce comportement ?
Pour modifier ce comportement pour une application spécifique telle qu’Word ou Excel, vous pouvez créer la clé de Registre suivante : HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\<'application Office>\Security\PackagerPrompt
Attention : Toute modification incorrecte du Registre à l’aide de l’Éditeur du Registre ou d’une autre méthode peut entraîner des problèmes sérieux. Ces problèmes peuvent nécessiter la réinstallation du système d'exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Vous assumez l’ensemble des risques liés à la modification du Registre.
Pour créer la clé de Registre :
-
Quittez toutes les applications Office que vous avez peut-être ouvertes.
-
Démarrez le Registre Rédacteur en cliquant sur Démarrer (ou en appuyant sur la touche Windows de votre clavier), puis en tapant Regedit et en appuyant sur Entrée.
-
Localisez la clé de Registre suivante :
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\<Office application>\Security\
L’application Office doit être l’une des applications suivantes :
-
Word
-
Excel
-
PowerPoint
-
Visio
-
Publisher
-
-
Cliquez avec le bouton droit sur la clé et ajoutez une nouvelle valeur hexadécimale REG_DWORD appelée PackagerPrompt avec l’une des valeurs suivantes :
-
0 – Aucune invite d’Office quand l’utilisateur clique, l’objet s’exécute
-
1 – Invite à partir d’Office lorsque l’utilisateur clique, l’objet s’exécute
-
2 – Aucune invite, Object ne s’exécute pas
-
Vous avez une question sur Office à laquelle nous n’avons pas répondu ?
Visitez la communauté Microsoft Answers pour voir les questions et réponses publiées par d’autres personnes ou obtenir des réponses à vos propres questions.
