Un exploit Windows « ressuscite » Internet Explorer – .

Un exploit Windows « ressuscite » Internet Explorer – .
Un exploit Windows « ressuscite » Internet Explorer – .

Mardi, Microsoft a corrigé une série de failles de sécurité. Parmi elles, deux ont été activement exploitées. L’une d’elles permettait à un utilisateur d’être incité à utiliser un faux raccourci, ce qui obligeait le navigateur à basculer vers le moteur Internet Explorer, jusqu’alors abandonné.

Le dernier bulletin de sécurité mensuel publié par Microsoft mardi a été chargé. Au total, 143 vulnérabilités ont été corrigées dans divers produits, dont Windows 11. Sur ce total, 5 étaient critiques, 136 importantes et 4 modérées.

Parmi les failles importantes, deux sont activement exploitées. La première, CVE-2024-38080, permet l’élévation des privilèges dans Hyper-V. Son score CVSS 3.1 est de 7,8/10. L’autre, CVE-2024-38112, est de type usurpation d’identité et réside dans l’ancien moteur de rendu d’Internet Explorer, MSHTML. Son score CVSS 3.1 est de 7/10.

Mais c’est cette deuxième faille qui a retenu l’attention. Selon les chercheurs en sécurité de Check Point, le code malveillant l’exploitant daterait au moins de janvier 2023. Il circulait encore en mai dernier, lorsqu’ils ont signalé la vulnérabilité à Microsoft.

Tromper l’internaute avec un faux lien

L’idée derrière l’exploitation de la faille CVE-2024-38112 est d’attirer l’utilisateur dans un piège, en lui présentant ce qui semble être un document PDF. Dans un échantillon présenté par les chercheurs de Check Point, on peut voir le fichier « Books_A0UJKO.pdf », qui cache en réalité un piège classique : un raccourci, le vrai nom du fichier étant « Books_A0UJKO.pdf.url ».

Dans le raccourci, il y a un lien vers l’exécutable msedge.exe, qui ouvre le navigateur Edge. Cependant, le lien a deux attributs, mhtml et !x-usc :

Source : Point de contrôle

Les chercheurs affirment que ces attributs sont couramment utilisés par les pirates pour ouvrir une application spécifique. Dans ce cas, ils forcent Edge à s’ouvrir en mode Internet Explorer et à utiliser son moteur, MSHTML. Cependant, comme le souligne Check Point, il est beaucoup plus facile d’obtenir une vulnérabilité zero-day pour Internet Explorer que pour Edge, qui est basé sur Chromium.

Juste de vieux trucs ? Pas seulement

« Attirer un internaute vers un document qui est en fait un raccourci et ouvrir une autre application est une chose qui se fait depuis longtemps. Cependant, dans les échantillons que nous avons analysés, les auteurs de la menace n’ont pas utilisé d’exploit d’exécution de code à distance dans IE. Au lieu de cela, ils ont utilisé une autre astuce dans IE – qui n’était probablement pas connue du public, à notre connaissance – pour inciter la victime à exécuter du code à distance. “, indique cependant Check Point.

A l’ouverture du raccourci, Internet Explorer affiche une première boîte de dialogue, pour confirmer l’ouverture du PDF. L’ancien navigateur supprime l’extension « .url » dans sa requête, à cause du deuxième attribut placé dans le lien. Si vous n’avez pas remarqué la petite flèche sur l’icône du fichier, il existe une deuxième chance de vous rendre compte de la supercherie : la taille du fichier, inférieure à 2 Ko.

Si vous confirmez, une seconde fenêtre s’ouvre. L’avertissement est vague, Windows signalant seulement qu’un site web veut ouvrir un contenu. Il est néanmoins précisé que cette ouverture se fera en dehors du mode protégé (en fait un sandbox) et qu’il vaut mieux ne pas ouvrir ce contenu si vous ne lui faites pas confiance. Le message peut fonctionner… pour les personnes qui lisent ce type d’avertissement.

En cas de seconde confirmation, le code malveillant est cette fois exécuté via un fichier HTA. A partir de là, la chaîne d’exploitation peut conduire à l’exécution arbitraire de code à distance. Si la faille n’est pas considérée comme critique, c’est bien sûr parce qu’elle nécessite l’intervention de l’utilisateur.

L’étrange endroit d’Internet Explorer

« Pour résumer les attaques du point de vue de l’exploitation : la première technique utilisée dans ces campagnes est l’astuce « mhtml », qui permet à l’attaquant d’appeler IE au lieu de Chrome/Edge, plus sécurisé. La deuxième technique est une astuce IE qui fait croire à la victime qu’elle ouvre un fichier PDF, alors qu’en fait elle télécharge et exécute une application .hta dangereuse. L’objectif général de ces attaques est de faire croire aux victimes qu’elles ouvrent un fichier PDF, ce qui est rendu possible grâce à ces deux astuces. « , expliquent les chercheurs.

Mais Internet Explorer n’a-t-il pas pris sa retraite ? Oui, officiellement le 15 juin 2022. Il reste toutefois présent dans le système, y compris dans Windows 11. Son moteur de rendu est parfois utilisé dans Edge, lorsque l’on demande spécifiquement le mode Compatibilité pour afficher un site très ancien, par exemple dans une entreprise.

Il faut également noter que malgré ce retrait, le support technique d’Internet Explorer n’a jamais cessé. Microsoft continue de corriger les vulnérabilités trouvées. Le patch déployé mardi concerne l’ancien navigateur. Le problème est plus grave lorsque la vulnérabilité est de type 0-day, comme ici : le plus ancien code malveillant trouvé remonte à janvier 2023.

Les chercheurs ont confirmé que le correctif déployé protège effectivement contre la vulnérabilité.

 
For Latest Updates Follow us on Google News
 

PREV Un coloris entièrement noir sur toutes les chaussures Nike ! – .
NEXT Les fibres alimentaires améliorent le contrôle de la glycémie grâce aux cellules immunitaires.