AccueilActualités informatiqueEn attendant les correctifs de Windows : instructions de bricolage pour l'exploit...

En attendant les correctifs de Windows : instructions de bricolage pour l’exploit MSHTML en circulation

Étant donné qu’il n’existe toujours pas de correctifs de sécurité pour une vulnérabilité de Windows que les attaquants ciblent actuellement, Microsoft conseille aux administrateurs de sécuriser les systèmes avec des solutions provisoires. Mais selon les chercheurs en sécurité, ces derniers n’assurent pas une protection fiable. La disponibilité de codes d’exploitation dans les forums de pirates informatiques exacerbe la situation.

Les attaquants tentent actuellement d’infecter les PC Windows avec un code malveillant en utilisant des documents Office préparés. Grâce à une faille de sécurité (CVE-2021-40444 « haut« ) dans le moteur de rendu HTML MSHTML de Windows, un cheval de Troie pouvait s’introduire dans les systèmes après l’ouverture de tels documents. Un correctif de sécurité pour Windows 8.1 à 10 et Windows Server 2008 à 2019 n’est pas encore disponible et arrivera très probablement lors du patchday de cette semaine.

Sommaire

Après l’ouverture des documents Office préparés, les contrôles ActiveX garantissent que le code malveillant atterrit sur les ordinateurs. Pour éviter cela, Microsoft conseille aux administrateurs, dans un message d’avertissement, de désactiver ActiveX pour Internet Explorer. Il s’est avéré par la suite qu’une telle attaque peut également être déclenchée via l’aperçu des documents de l’Explorateur Windows. Microsoft a ajouté une autre solution de contournement au message d’avertissement pour désactiver ActiveX dans Explorer également.

En attendant, cependant, les chercheurs en sécurité rapportentque de telles attaques sont également possibles sans ActiveX. On ne sait pas encore comment cela fonctionne en détail. Selon Microsoft, le mécanisme de protection d’Office permettant d’ouvrir les fichiers de sources inconnues en mode sans échec devrait protéger contre ces attaques. Ce n’est que lorsqu’une victime autorise le montage qu’une attaque peut réussir.

Pour qu’Office puisse ouvrir des documents Word provenant d’Internet en mode sécurisé, les fichiers doivent être marqués comme Mark of the Web (MoTW). C’est généralement le cas lorsque les documents Office sont téléchargés directement. Cependant, si un tel document arrive dans une archive, le marquage MoTW n’est pas attribué et le mécanisme de protection ne prend pas effet, avertissent les chercheurs en sécurité. En outre, les attaques fonctionneraient également avec des documents RTF préparés, pour lesquels le mode sans échec n’est pas applicable.

Selon les entrées d’un forum de pirates, les attaquants ont déjà optimisé leur exploit. En outre, on y trouve des instructions étape par étape relativement simples sur la manière de créer sa propre charge utile pour les attaques. Cela pourrait conduire à ce que de nombreux resquilleurs attaquent Windows par la brèche.

Selon les chercheurs en sécurité, les scanners antivirus tels que Microsoft Defender devraient détecter et bloquer l’exploit actuel. Cependant, les attaquants peuvent modifier leur code à tout moment, de sorte que les fabricants de logiciels antivirus devront à nouveau rattraper leur retard.


(des)

Plus d'articles