Microsoft a corrigé une vulnérabilité zero-day de Windows qui a été activement exploitée dans des attaques pendant dix-huit mois pour lancer des scripts malveillants tout en contournant les fonctionnalités de sécurité intégrées.
La faille, identifiée comme CVE-2024-38112, est un problème d’usurpation MHTML de haute gravité résolu lors des mises à jour de sécurité du Patch Tuesday de juillet 2024.
Haifei Li de Check Point Research a découvert la vulnérabilité et l’a divulguée à Microsoft en mai 2024.
Cependant, dans un rapport de Li, le chercheur note qu’ils ont découvert des échantillons exploitant cette faille dès janvier 2023.
Internet Explorer est parti, mais pas vraiment
Haifei Li a découvert que des acteurs de la menace distribuaient des fichiers de raccourcis Internet Windows (.url) pour usurper des fichiers d’apparence légitime, tels que des PDF, mais qui téléchargent et lancent des fichiers HTA pour installer des logiciels malveillants voleurs de mots de passe.
Un fichier de raccourci Internet est simplement un fichier texte contenant divers paramètres de configuration, tels que l’icône à afficher, le lien à ouvrir en cas de double-clic et d’autres informations. Lorsqu’il est enregistré en tant que .fichier URL et double-cliquez dessus, Windows ouvrira l’URL configurée dans le navigateur Web par défaut.
Cependant, les auteurs de la menace ont découvert qu’ils pouvaient forcer Internet Explorer à ouvrir l’URL spécifiée en utilisant le gestionnaire mhtml: URI dans la directive URL, comme illustré ci-dessous.
MHTML est un fichier « Encapsulation MIME de documents HTML agrégés », une technologie introduite dans Internet Explorer qui encapsule une page Web entière, y compris ses images, dans une seule archive.
Lorsque l’URL est lancée avec l’URI mhtml:, Windows la lance automatiquement dans Internet Explorer au lieu du navigateur par défaut.
Selon le chercheur en vulnérabilités Will Dormann, l’ouverture d’une page Web dans Internet Explorer offre des avantages supplémentaires aux auteurs de menaces, car il y a moins d’avertissements de sécurité lors du téléchargement de fichiers malveillants.
« Tout d’abord, IE vous permettra de télécharger un .Fichier HTA sur Internet sans avertissement », a expliqué Dormann sur Mastodon.
« Ensuite, une fois téléchargé, le .Le fichier HTA vivra dans le répertoire INetCache, mais il n’aura pas explicitement de MotW. À ce stade, la seule protection dont dispose l’utilisateur est un avertissement indiquant qu ‘ « un site Web » souhaite ouvrir du contenu Web à l’aide d’un programme sur l’ordinateur. »
« Sans dire de quel site il s’agit. Si l’utilisateur croit qu’il fait confiance à « ce » site Web, c’est à ce moment que l’exécution du code se produit. »
Essentiellement, les acteurs de la menace profitent du fait qu’Internet Explorer est toujours inclus par défaut sur Windows 10 et Windows 11.
Bien que Microsoft ait annoncé son retrait il y a environ deux ans et qu’Edge l’ait remplacé sur toutes les fonctions pratiques, le navigateur obsolète peut toujours être invoqué et exploité à des fins malveillantes.
Check Point indique que les auteurs de la menace créent des fichiers de raccourcis Internet avec des index d’icônes pour les faire apparaître sous forme de liens vers un fichier PDF.
Lorsque vous cliquez dessus, la page Web spécifiée s’ouvre dans Internet Explorer, qui tente automatiquement de télécharger ce qui semble être un fichier PDF mais qui est en fait un fichier HTA.
Cependant, les acteurs de la menace peuvent masquer l’extension HTA et la faire apparaître comme un PDF en cours de téléchargement en remplissant le nom de fichier avec des caractères Unicode afin que le .l’extension hta n’est pas affichée, comme indiqué ci-dessous.
Lorsque Internet Explorer télécharge le fichier HTA, il vous demande si vous souhaitez l’enregistrer ou l’ouvrir. Si un utilisateur décide d’ouvrir le fichier en pensant qu’il s’agit d’un fichier PDF, car il ne contient pas la Marque du Web, il se lancera avec uniquement une alerte générique sur l’ouverture du contenu à partir d’un site Web.
Comme la cible s’attend à télécharger un fichier PDF, l’utilisateur peut faire confiance à cette alerte et le fichier est autorisé à s’exécuter.
Check Point Research a déclaré à Breachtrace qu’autoriser l’exécution du fichier HTA installerait le logiciel malveillant Atlantida Stealer qui vole des mots de passe sur l’ordinateur.
Une fois exécuté, le logiciel malveillant volera toutes les informations d’identification stockées dans le navigateur, les cookies, l’historique du navigateur, les portefeuilles de crypto-monnaie, les informations d’identification Steam et d’autres données sensibles.
Microsoft a corrigé la vulnérabilité CVE-2024-38112 en désenregistrant l’URI mhtml: à partir d’Internet Explorer, il s’ouvre donc désormais dans Microsoft Edge à la place.
CVE-2024-38112 est similaire à CVE-2021-40444, une vulnérabilité zero-day qui a abusé de MHTML que les pirates nord-coréens ont exploitée pour lancer des attaques ciblant les chercheurs en sécurité en 2021.