Vulnérabilité zero-day dans Windows MSHTML exploitée

Une vulnérabilité non corrigée de Windows 10 a été à nouveau exploitée et la prime partagée sur les forums de piratage. Un avis de sécurité de Redmond indique que la faille de sécurité CVE-2021-40444 affecte le composant “MSHTML” d’Internet Explorer (IE) sur Windows 10 et de nombreuses versions de Windows Server.

Selon une annonce, la vulnérabilité zero-day de Windows 10 dans Windows MSHTML permet aux attaquants de créer des documents malveillants, y compris des documents Office et RTF, et de donner le contrôle à l’attaquant pour exécuter des commandes à distance sur l’ordinateur d’une victime.

Bien qu’aucune mise à jour de sécurité ne soit disponible pour la vulnérabilité CVE-2021-40444, Microsoft a décidé de divulguer la vulnérabilité et d’atténuer la menace afin d’empêcher toute exploitation ultérieure.

Dans sa déclaration, Microsoft a déclaré : « Un attaquant pourrait créer un contrôle ActiveX malveillant à utiliser par un document Microsoft Office qui héberge le moteur de rendu du navigateur. L’attaquant devrait alors convaincre l’utilisateur d’ouvrir le document malveillant. Les utilisateurs dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système pourraient être moins impactés que les utilisateurs qui fonctionnent avec des droits d’utilisateur administratifs.

Si les contrôles ActiveX et les aperçus de documents Word/RTF sont bloqués dans IE, la menace peut être atténuée. Mais les attaquants ont pu modifier l’exploit et ne pas utiliser ActiveX, et contourner Microsoft.

Exploits partagés

Prenant immédiatement l’exemple de la divulgation par Microsoft de la vulnérabilité Windows MSHTML Zero-Day, identifiée comme étant la vulnérabilité CVE-2021-40444, des forums de piratage et des chercheurs en sécurité sont entrés en action et ont découvert les documents malveillants utilisés dans les attaques en ligne et qui en abusaient davantage.

Inspiré par @buffaloverflow, j’ai testé le vecteur d’attaque RTF. Et ça marche plutôt bien.
O EST VOTRE MODE PROTÉGÉ MAINTENANT ? pic.twitter.com/qf021VYO2R

– Will Dormann (@wdormann) 9 septembre 2021

Ils ont eu une journée sur le terrain à reproduire, exploiter et modifier davantage ces documents pour plus de fonctionnalités et de vulnérabilités. Cela a donné un avantage aux acteurs de la menace qui ont exploité davantage ces échantillons publiés en ligne et les ont partagés avec leurs collègues attaquants sur des forums de piratage.

Je ne sais pas si Microsoft a corrigé cela (ma machine virtuelle n’est pas corrigée). Mais cela fonctionne en mode aperçu de l’explorateur via RTF : https://t.co/GI9xr71JKt pic.twitter.com/H5cdmL8tpX

– Rich Warren (@buffaloverflow) 8 septembre 2021

Selon un rapport sur les ordinateurs Bleeping, les informations sont faciles à suivre et permettent à quiconque de créer sa propre version de travail de l’exploit CVE-2021-40444, y compris un serveur Python pour distribuer les documents malveillants et les fichiers CAB.

Microsoft conseille

1. Bloquer le contrôle ActiveX dans IE en le désactivant
2. Désactiver l’aperçu du document dans l’explorateur Windows

Les utilisateurs doivent toujours être prudents jusqu’à ce qu’une mise à jour de sécurité officielle soit publiée, car les acteurs de la menace ont encore modifié les vulnérabilités pour contourner Microsoft.

Série de vulnérabilités Microsoft

Chaque site de cybersécurité signale des vulnérabilités Microsoft depuis le début de l’année. Au cours du seul mois d’août, Microsoft a publié 44 correctifs de sécurité. Certains des outils concernés signalés incluent .NET Core & Visual Studio, ASP.NET Core & Visual Studio, Azure, Windows Update, Windows Print Spooler Components, Windows Media, Windows Defender, Remote Desktop Client, Microsoft Dynamics, Microsoft Edge (Chromium- basé), Microsoft Office, Microsoft Office Word, Microsoft Office SharePoint et plus encore.

Le Microsoft Vulnerabilities Report 2021 de BeyondTrust souligne que les vulnérabilités non corrigées sont la cause d’une violation sur trois dans le monde.

Principales conclusions

• 1 268 vulnérabilités Microsoft ont été découvertes en 2020, un nombre record avec une augmentation de 48% en glissement annuel
• Les vulnérabilités signalées ont augmenté de 181% au cours des cinq dernières années (2016-2020)
• Pour la première fois, « Elevation of Privilege » était la première catégorie de vulnérabilité, représentant 44% du total, près de trois fois plus que l’année précédente

Microsoft étant la plate-forme la plus largement utilisée, est une cible évidente et ouverte aux vulnérabilités compte tenu de sa large base d’utilisateurs. Un grand nombre de menaces zéro ont été signalées et nous devons voir des correctifs et des réponses plus proactifs à ces exploits.