L’alerte lancée par Microsoft est claire : version PC (éditions Office 2000 à 2007) ou Macintosh (Office 2004/2008 et convertisseur XML), toutes sont vulnérables et contiennent une faille pour l’instant exploitée à faible échelle. Pour l’heure, seules les versions Windows sont affectées par un « dropper » chargé d’installer une porte dérobée sur la machine victime. La backdoor en question surveille le port 80 en quête de mises à jour.
Le motif est assez sérieux pour que Bill Sisk du MSRC publie un billet sur le blog du « response team ». Le problème est d’autant plus épineux que les seules contre-mesures proposées jusqu’à présent consistent à utiliser Moice, nettement plus connu (sur un axe Les Ulis/Les Ulis) sous l’appellation transparente de « Microsoft Office Isolated Conversion Environment pour le Pack de compatibilité pour formats de fichiers Word, Excel et PowerPoint 2007 ». L’installation de Moice ne suffit pas, il faut en outre l’activer en fonction de l’extension à interpréter. Une seconde mesure de prudence consiste à bloquer le lancement automatique d’Office 2003 par le truchement d’une modification de la BDR.
Il est très peu probable que ces conseils soient entendus, voir suivis, par la majorité des usagers, compte tenu de leur complexité. Fort heureusement, l’exploit découvert est assez confidentiel. Il y a cependant assez d’éléments pour provoquer, en cas d’intensification des attaques, la publication d’un correctif « out of band »… 20 jours nous séparent du prochain « Patch Tuesday ». En attendant cette rustine salvatrice, il est conseillé de se méfier des tableaux provenant d’expéditeurs inconnus ou peu fiables.