Zero-day exploit sur Windows : comment des acteurs malveillants ont exploité une faille pendant un an

Par Guillaume Meyer Mis à jour le 11 Juil 2024 à 19 h 27

Des acteurs malveillants ont exploité une vulnérabilité de Windows 10/11 pendant plus d’un an via le navigateur Internet Explorer.
L’exploit zéro-jour a été rendu possible grâce au moteur MSHTML de Windows 10 et 11, ciblant les utilisateurs de Windows à travers le navigateur obsolète d’Internet Explorer.

Des chercheurs ont découvert que des acteurs de la menace ont exploité une vulnérabilité de Windows 10/11 pendant un an avant que Microsoft ne la corrige. Cette attaque zero-day était possible grâce au navigateur Internet Explorer obsolète.

Selon les chercheurs de la société de sécurité Check Point, certains cybercriminels ont exploité une faille zero-day présente sur le moteur MSHTML de Windows 10 et 11 pendant plus d’un an. Les attaques ciblaient les utilisateurs de Windows via le navigateur obsolète de Microsoft, Internet Explorer. Ce dernier a été abandonné en juin 2022 en raison de son code vieillissant, ce qui le rendait très vulnérable aux attaques. Bien qu’il ait été complètement remplacé par le navigateur Edge basé sur Chromium, il existait encore des moyens de le lancer.

Le code malveillant qui exploite cette vulnérabilité remonte apparemment à janvier 2023 au moins. Il utilisait des astuces nouvelles ou inconnues jusqu’alors pour inciter les utilisateurs de Windows à exécuter du code à distance. Cela se faisait via un lien déguisé en fichier PDF avec une extension ‘.url’ à la fin. Par exemple, l’un des exemplaires était ‘Books_A0UJKO.pdf.url’.

Ainsi, les utilisateurs inconscients ouvrent ce qu’ils pensent être un fichier PDF mais sont redirigés vers un site Web ou un lien malveillant qui télécharge ou exécute la charge utile de l’attaque. Comme le lien malveillant s’exécute sur l’ancien Internet Explorer, de nombreux nouveaux contrôles de sécurité ne sont pas disponibles pour détecter la menace.

Alors que la sécurité de Windows continue d’avertir les utilisateurs avant de lancer le fichier, il est tout à fait compréhensible que beaucoup ne remarqueront pas qu’ils lancent un fichier HTML et continueront à accepter.

“À partir de là (le site Web ouvert avec IE), l’attaquant pourrait faire beaucoup de choses néfastes car IE est insécurisé et obsolète,” déclare Haifei Li, le chercheur de Check Point qui a découvert la vulnérabilité. “Par exemple, si l’attaquant a une exploitation zero-day d’IE – qui est beaucoup plus facile à trouver que pour Chrome/Edge – l’attaquant pourrait attaquer la victime pour obtenir une exécution de code à distance immédiatement. Cependant, dans les exemplaires que ils ont analysés, les acteurs de la menace n’ont pas utilisé d’exploitation d’exécution de code à distance d’IE. Au lieu de cela, ils ont utilisé une autre astuce dans IE – probablement inconnue du public jusqu’à présent – à ce connaissance – pour inciter la victime à obtenir une exécution de code à distance.”

La vulnérabilité, également connue sous le nom de CVE-2024-CVE-38112, avait un indice de gravité de 7 sur 10, mais Microsoft l’a heureusement corrigée depuis. Mieux vaut tard que jamais.

Windows