Internet Explorer 11 reçoit un micropatch non-officiel pour une faille 0-day

0

Une vulnérabilité zero-day d’Internet Explorer 11 utilisée contre des chercheurs en sécurité, pas encore corrigée par Microsoft, a reçu un micropatch qui empêche son exploitation.

Le mois dernier, Google et Microsoft ont révélé que le groupe de pirates nord-coréens, Lazarus, menait des attaques d’ingénierie sociale contre des chercheurs en sécurité.

Dans le cadre de ces attaques, les cybercriminels contactaient les chercheurs en sécurité via les réseaux sociaux et leur demanderaient s’ils souhaitaient collaborer sur la vulnérabilité et la recherche d’exploit. Les personnes intéressées ont reçu des liens vers des articles de blog contenant des kits d’exploitation, des projets Visual Studio malveillants ou des fichiers MHTML qui installeraient une porte dérobée personnalisée.

Lors de l’enquête sur ces attaques, cependant, les serveurs de commande et de contrôle étaient en panne, il était donc impossible de voir quels exploits étaient utilisés dans ces attaques.

Une faille zero-day d’Internet Explorer utilisée dans des attaques

Ce mois-ci, la société sud-coréenne de cybersécurité ENKI a révélé que Lazarus avait ciblé ses chercheurs en sécurité avec des fichiers MHTML dans la même campagne d’ingénierie sociale.

internet explorer 11

Un fichier MHT, ou MIME HTML, est un format de fichier spécial utilisé par Internet Explorer pour stocker une page Web et ses ressources dans un seul fichier d’archive.

Lorsqu’un fichier MHT est lancé, Windows utilisera automatiquement Internet Explorer pour ouvrir le fichier tel qu’il est configuré comme gestionnaire de fichiers par défaut.

ENKI déclare que ses chercheurs n’ont pas été infectés et ont pu analyser les charges utiles pour découvrir la faille zero-day d’Internet Explorer 11 utilisée dans l’attaque.

Sortie d’un micropatch non-officiel d’Internet Explorer 11

Pour le moment, Microsoft n’a pas reconnu publiquement la faille zero-day d’Internet Explorer ni attribué d’identifiant CVE à la vulnérabilité.

En outre, Mitja Kolsek, PDG d’ACROS Security et co-fondateur du service de micropatching 0patch, a confirmé que la vulnérabilité n’a pas été corrigée lors du Patch Tuesday du mois de Février.

La semaine dernière, 0Patch a annoncé avoir commencé à lancer un micropatch pour la vulnérabilité d’Internet Explorer 11, car elle était activement utilisée dans les attaques.

«Notre approche des correctifs consistait à casser une fonctionnalité obscure du navigateur permettant à une valeur d’attribut HTML (normalement une chaîne) d’être un objet, que nous estimons utile à *très* peu de développeurs Web dont les applications sont censées fonctionner avec Internet Explorer. « 

« Notre micropatch est appliqué dans la fonction CAttribute::put_ie9_nodeValue de mshtml.dll, où il vérifie le type VARIANT de la valeur que le code JavaScript veut attribuer à un attribut – et empêche que cela se produise si le type est 9 (objet).  » – 0 patch

Jusqu’à ce que Microsoft propose un correctif officiel, les utilisateurs peuvent créer un compte sur 0patch et installer l’agent pour accéder à ce micropatch. Le patch est gratuit pour les utilisateurs particuliers à but non lucratif/éducatifs.

Le correctif temporaire de 0patch fonctionne pour les systèmes suivants:

Pour les systèmes Windows mis à jour avec les patchs de Janvier 2021

  • Windows 7 + ESU
  • Server 2008 R2 + ESU
  • Windows 10 v1809, v1909, v2004, v20H2
  • Windows Server 2016, 2019

Pour les systèmes Windows mis à jour avec les patchs de Janvier 2020:

  • Windows 7 w/o ESU
  • Windows Server 2008 R2 w/o ESU

« Internet Explorer est intrinsèquement présent dans toutes les grandes organisations (même s’il ne s’agit pas du navigateur principal), et une vulnérabilité comme celle-ci peut être utilisée très efficacement dans une attaque externe ou interne pour compromettre les postes de travail des utilisateurs. Nous l’utilisions certainement dans un contexte de test de pénétration », a déclaré Kolsek.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.