« Nous sommes en 2025 après J.-C. Toute l’informatique est sécurisée… Toute ? Non ! Une suite bureautique peuplée d’irréductibles fichiers Word résiste encore et toujours à la cybersécurité. »
🧾 Quand Office devient ton shell
Les exploits Office, c’est un peu comme les mauvaises comédies de TF1 : ça revient tous les ans, c’est toujours le même scénario, et pourtant ça cartonne. Cette fois-ci, c’est un petit bijou trouvé sur GitHub, dans un repo joliment baptisé :
Caztemaz/Office-Exploit-Cve2025-Xml-Doc-Docx-Rce-Builder-Fud
Le nom sent déjà bon le pentest éthique. Un « builder FUD » pour fichiers Word ? CVE-2025-44228 ? Un clin d’œil à Log4Shell, ou un vrai futur désastre en devenir ? En tout cas, le principe est simple : tu veux transformer un DOCX anodin en machine à RCE indétectable par ton antivirus de confiance ? C’est Noël.
📂 Le mode d’emploi du désastre
Le script permet de générer des fichiers .doc ou .docx piégés à base de XML modifié, avec options à la carte :
- Macro malveillante VBA avec payload intégré ou distant,
- Inclusion de shell PowerShell,
- Exploit de vulnérabilités XML dans la structure interne du document,
- Bypass d’analyse comportementale (sandbox),
- Et bien sûr, signature « FUD » : Fully Undetectable, rien que ça.
En gros, un clic sur le document suffit à ouvrir un reverse shell, injecter un backdoor, ou lancer une commande arbitraire. Le tout avec la bénédiction de Word, fidèle serviteur de l’attaquant.
Et la beauté du geste ? Tu peux livrer ça via email, Microsoft Teams, SharePoint, ou tout autre outil Office-friendly. Personne ne se méfie d’un fichier Word — surtout s’il s’intitule « Compte_Rendu_CSE.docx » ou « Note_d’embauche_urgent.doc ».
🔥 Office 365, encore un bon client
Oui, même Office 365, pourtant présenté comme plus sécurisé, n’est pas épargné. Pourquoi ? Parce qu’un beau jour, un analyste a décidé que les macros VBA signées, les documents XML propres et les extensions DOCX suffisaient à garantir la sécurité d’un fichier.
Mais la réalité, c’est que Word continue de parser des documents XML comme un élève stagiaire analyse un mail de phishing : il ouvre tout, sans réfléchir, et parfois il clique même sur les liens.
Résultat : une faille dans le parsing XML, un schéma détourné ou une macro sournoise suffit à exécuter du code. Et l’antivirus ? Trop occupé à bloquer Firefox pour comportement suspect.
🧠Pourquoi ça marche encore ?
Parce que les utilisateurs ouvrent toujours les fichiers Word comme s’il s’agissait de recettes de grand-mère, et que les RSSI, eux, sont trop occupés à gérer des audits ISO, des MFA bancals et des VPN foireux. Parce que Microsoft refuse d’abandonner VBA et continue d’intégrer des fonctions dynamiques dans ses formats Office.
Et parce que — soyons honnêtes — la plupart des SI sont encore des gruyères où Word tourne avec des droits d’administration « parce que sinon le plugin du DAF plante ».
🧯 Ce qu’il faudrait faire (mais qu’on ne fera pas)
Théoriquement :
- Désactiver toutes les macros non signées par GPO,
- Bloquer l’exécution automatique dans Word,
- Forcer l’ouverture des fichiers en lecture seule dans un bac à sable,
- DĂ©sactiver le parsing externe des XML,
- Et former les utilisateurs à ne pas ouvrir tout ce qui contient « URGENT » dans le titre.
Mais dans la vraie vie :
- La macro Excel du directeur marketing ne fonctionne plus,
- La DRH gueule parce que le publipostage plante,
- Et l’audit RGPD n’a pas prévu ce cas de figure.
🧾 En résumé
Office, encore et toujours, reste le cheval de Troie parfait pour les attaquants de tout poil. Et cette vulnérabilité, qu’elle soit un 0day ou un « PoC pédagogique », illustre bien un fait gênant : tant qu’on continuera à exécuter du code dans des documents bureautiques, les campagnes de phishing auront de beaux jours devant elles.
🧪 Message de service à nos pentesters : Si vos payloads ne passent plus, essayez un bon vieux .docx avec une touche de XML vicieux. Ça marche toujours mieux qu’un binaire custom.
🔥 Message aux RSSI : Vous pensiez que les documents Word ne pouvaient plus faire de dégâts ? Téléchargez ce repo et pleurez.
