🧹 Un PoC sur GitHub transforme un fichier Word en cheval de Troie – CVE-2025-44228 en action

Ah, le fichier Word
 ce bon vieux .docx que tout le monde ouvre les yeux fermĂ©s, du comptable au CEO. Et pourtant, derriĂšre cette extension banale peut se cacher un cheval de Troie 5 Ă©toiles, prĂȘt Ă  servir un payload FUD (Fully Undetectable) Ă  la vitesse de l’éclair. C’est exactement ce que propose le dernier joujou disponible sur GitHub : un exploit builder basĂ© sur la vulnĂ©rabilité CVE-2025-44228, exploitant le parsing XML dans les documents Office.

Bienvenue dans l’ùre oĂč Word devient littĂ©ralement une arme de guerre numĂ©rique.

đŸ•”ïžâ€â™‚ïž L’exploit : XML, Office et exĂ©cution distante

Ce repo dĂ©veloppĂ© par Caztemaz n’est pas juste un PoC de plus. Il fournit un constructeur d’exploit completpermettant de gĂ©nĂ©rer un document Office malicieux (.doc ou .docx) qui exploite une vulnĂ©rabilitĂ© RCE (Remote Code Execution) via une injection XML dans le corps du fichier.

CVE-2025-44228 semble toucher le moteur de traitement XML d’Office, dĂ©clenchant l’exĂ©cution d’un code malveillant lors du rendu du document – sans macro, sans clic, et potentiellement sans alerte. Oui, on parle bien d’un document qui pĂšte tout, juste en l’ouvrant.

Et comme si ce n’était pas assez, le tout est prĂ©sentĂ© comme FUD, c’est-Ă -dire « indĂ©tectable par les antivirus traditionnels ». Une friandise pour les attaquants, un cauchemar pour les SOC.

🧬 Anatomie du piùge : comment ça marche ?

Le script proposĂ© par Caztemaz injecte dans le document Office un payload encapsulĂ© dans des balises XML exotiques, dĂ©clenchant une logique de chargement externe ou une faille de dĂ©sĂ©rialisation dans le traitement d’Office :

  1. Fichier DOCX standard → modifiĂ© au niveau des balises <w:instrText> ou <o:FieldCodes>.
  2. Code exécutable ou lien distant injecté via un format XML validé.
  3. À l’ouverture : le moteur XML parse le contenu → dĂ©clenchement de la charge utile.
  4. RĂ©sultat : exĂ©cution d’une commande ou d’un binaire arbitraire sur la machine cible.

Et tout cela sans macro. Car oui, Microsoft a blindĂ© les macros par dĂ©faut
 mais a laissĂ© la porte XML grande ouverte.

đŸ’„ Pourquoi ça pique autant

Ce genre d’exploit coche toutes les cases de la catastrophe :

  • FacilitĂ© de diffusion : un fichier Word envoyĂ© par mail, Slack, Teams, ou copiĂ© sur une clĂ© USB.
  • Confiance utilisateur : « C’est un fichier Word, voyons, ça ne peut pas ĂȘtre dangereux ».
  • Bypass antivirus : signatures inexistantes ou trop gĂ©nĂ©rales pour dĂ©tecter l’exploit.
  • Impact massif : toute personne ouvrant le document devient une cible directe.

Dans les entreprises, ce type d’attaque passe Ă  travers les failles humaines comme un couteau dans du beurre. Qui n’a jamais ouvert une fiche de paie, une relance client ou un tableau RH en .docx ?

🧯 Que faire pour Ă©viter de se faire DOCX-Ă©cuter ?

👉 CĂŽtĂ© utilisateurs :

  • Ne jamais ouvrir de fichiers Office douteux, mĂȘme sans macro.
  • DĂ©sactiver le traitement des liens externes et des champs dynamiques dans les options avancĂ©es d’Office.
  • Isoler les documents : les ouvrir dans une sandbox (type Sandboxie, environnement virtuel, etc.).

👉 CĂŽtĂ© entreprise / DSI / RSSI :

  • Mettre en place une sandbox en amont du poste utilisateur (via mail gateway ou EDR).
  • Forcer l’ouverture des Office dans Protected View ou en mode « preview only ».
  • DĂ©ployer des outils capables de parser les fichiers Office au niveau XML, comme oletools, ViperMonkey ou olevba.
  • RĂ©aliser un filtrage sur les liens externes contenus dans les .docx.

👉 CĂŽtĂ© SOC / Blue Team :

  • Surveillez les processus enfants anormaux de winword.exe (ex. powershell, cmd, curl, etc.).
  • Ajoutez des rĂšgles YARA spĂ©cifiques Ă  la structure XML malveillante (si connue).
  • Enrichissez vos playbooks d’incident avec des IOCs et dĂ©tections comportementales Office.

🎯 Conclusion : Quand Word devient arme de destruction massive

On croyait avoir tout vu avec les macros VBA, DDE et autres ActiveX. Mais la crĂ©ativitĂ© des attaquants ne connaĂźt pas de limites. Cette CVE-2025-44228 en est la preuve : elle recycle un support aussi banal qu’un .docx pour le transformer en dĂ©tonateur silencieux.

En somme : vous ouvrez un fichier, et c’est votre rĂ©seau qui ouvre la boĂźte de Pandore.

📎 Bonus : Pour les curieux ou les masochistes

Le repo GitHub (à manipuler uniquement en environnement isolé) :
🔗 github.com/Caztemaz/Office-Exploit-Cve2025

Quand Word devient arme de destruction massive
🧹 Un PoC sur GitHub transforme un fichier Word en cheval de Troie – CVE-2025-44228 en action
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut