Microsoft Corp. avertit que des attaquants exploitent une vulnérabilité jusque-là inconnue dans Windows 10 et beaucoup Serveur Windows versions pour prendre le contrôle des PC lorsque les utilisateurs ouvrent un document malveillant ou visitent un site Web piégé. Il n’existe actuellement aucun correctif officiel pour la faille, mais Microsoft a publié des recommandations pour atténuer la menace.
Selon un avis de sécurité de Redmond, le trou de sécurité CVE-2021-40444 affecte le composant « MSHTML » de Internet Explorer (IE) sur Windows 10 et beaucoup Serveur Windows versions. IE a été lentement abandonné pour les navigateurs Windows plus récents comme Bordmais le même composant vulnérable est également utilisé par Microsoft Office applications pour le rendu de contenu Web.
« Un attaquant pourrait créer un contrôle ActiveX malveillant à utiliser par un document Microsoft Office qui héberge le moteur de rendu du navigateur », a écrit Microsoft. « L’attaquant devrait alors convaincre l’utilisateur d’ouvrir le document malveillant. Les utilisateurs dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système pourraient être moins impactés que les utilisateurs qui fonctionnent avec des droits d’utilisateur administratifs.
Microsoft n’a pas encore publié de correctif pour CVE-2021-40444, mais indique que les utilisateurs peuvent atténuer la menace de cette faille en désactivant l’installation de tous les contrôles ActiveX dans IE. Microsoft affirme que la vulnérabilité est actuellement utilisée dans des attaques ciblées, bien que son avis attribue à trois entités différentes le signalement de la faille.
Un des chercheurs crédités — EXPMON — dit sur Twitter qu’il avait reproduit l’attaque des derniers Office 2019 / Office 365 sur Windows 10.
« L’exploit utilise des failles logiques, donc l’exploitation est parfaitement fiable (et dangereuse) », a tweeté EXPMON.
Les utilisateurs de Windows pourraient voir un correctif officiel pour le bogue dès le 14 septembre, lorsque Microsoft devrait publier son ensemble mensuel de mises à jour de sécurité « Patch Tuesday ».
Cette année a été difficile pour les utilisateurs de Windows et les menaces dites « zero day », qui font référence à des vulnérabilités qui ne sont pas corrigées par les versions actuelles du logiciel en question, et qui sont activement exploitées pour s’introduire dans des ordinateurs vulnérables.
Jusqu’à présent, pratiquement tous les mois en 2021, Microsoft a été contraint de répondre aux menaces du jour zéro ciblant d’énormes pans de sa base d’utilisateurs. En fait, d’après mes calculs, mai a été le seul mois jusqu’à présent cette année où Microsoft n’a pas publié de correctif pour corriger au moins une attaque zero-day dans Windows ou un logiciel pris en charge.
Beaucoup de ces zero-days impliquent des technologies Microsoft plus anciennes ou celles qui ont été retirées, comme IE11 ; Microsoft prise en charge officiellement retirée des applications et services Microsoft Office 365 sur IE11 le mois dernier. En juillet, Microsoft a publié un correctif pour la vulnérabilité Print Nightmare qui était présente dans toutes les versions prises en charge de Windows, seulement pour voir le correctif causer des problèmes à un certain nombre d’utilisateurs de Windows.
Lors du Patch Tuesday de juin, Microsoft a corrigé six failles de sécurité zero-day. Et bien sûr en mars, des centaines de milliers d’organisations exécutant Microsoft Exchange les serveurs de messagerie ont découvert que ces systèmes étaient compromis par des portes dérobées grâce à quatre failles zero-day dans Exchange.