Microsoft partage un correctif temporaire pour les attaques en cours ciblant Office 365

0

Microsoft a partagé une atténuation d’une vulnérabilité d’exécution de code à distance dans Windows qui est exploitée dans des attaques ciblées contre Office 365 et Office 2019 sur Windows 10.

La faille se trouve dans MSHTML, le moteur de rendu du navigateur également utilisé par les documents Office.

Attaques en cours contre Office 365

Identifié comme CVE-2021-40444, le problème de sécurité affecte Windows Server 2008 à 2019 et Windows 8.1 à 10 et a un niveau de gravité de 8,8 sur 10.

Microsoft est au courant des attaques ciblées qui tentent d’exploiter la vulnérabilité en envoyant des documents Microsoft Office spécialement conçus aux victimes potentielles, indique la société dans un avis publié récemment.

« Un attaquant pourrait créer un contrôle ActiveX malveillant à utiliser par un document Microsoft Office qui héberge le moteur de rendu du navigateur. L’attaquant devrait alors convaincre l’utilisateur d’ouvrir le document malveillant » – Microsoft

Cependant, l’attaque est déjouée si Microsoft Office s’exécute avec la configuration par défaut, où les documents du Web sont ouverts en mode Vue protégée ou Application Guard pour Office 365.

La vue protégée est un mode en lecture seule qui désactive la plupart des fonctions d’édition, tandis qu’Application Guard isole les documents non fiables, leur refusant l’accès aux ressources de l’entreprise, à l’intranet ou à d’autres fichiers du système.

Les systèmes dotés de Defender Antivirus et Defender for Endpoint (build 1.349.22.0 et versions ultérieures) de Microsoft bénéficient d’une protection contre les tentatives d’exploitation de CVE-2021-40444.

La plate-forme de sécurité d’entreprise de Microsoft affichera des alertes concernant cette attaque en tant que « Suspicious Cpl File Execution ».

Les chercheurs de plusieurs sociétés de cybersécurité sont reconnus pour avoir trouvé et signalé la vulnérabilité : Haifei Li d’EXPMON, Dhanesh Kizhakkinan, Bryce Abdo et Genwei Jiang – tous trois de Mandiant, et Rick Cole de Microsoft Security Intelligence.

Dans un tweet récent, EXPMON (exploit monitor) a déclaré avoir découvert la vulnérabilité après avoir détecté une « attaque zero-day hautement sophistiquée » visant les utilisateurs de Microsoft Office.

Microsoft EXPMON
source: EXPMON

Les chercheurs d’EXPMON ont reproduit l’attaque sur le dernier Office 2019/Office 365 sur Windows 10.

Dans une réponse, Haifei Li d’EXPMON a déclaré que les attaquants avaient utilisé un fichier .DOCX. Lors de son ouverture, le document a chargé le moteur Internet Explorer pour afficher une page Web distante du pirate informatique.

Les logiciels malveillants sont ensuite téléchargés à l’aide d’un contrôle ActiveX spécifique dans la page Web. L’exécution de la menace se fait à l’aide d’une « astuce appelée ‘Exécution du fichier Cpl' », référencée dans l’avis de Microsoft.

Le chercheur nous a dit que la méthode d’attaque est fiable à 100 %, ce qui la rend très dangereuse. Il a signalé la vulnérabilité à Microsoft tôt dimanche matin.

Solution de contournement pour les attaques zero-day de CVE-2021-40444

Comme aucune mise à jour de sécurité n’est disponible pour le moment, Microsoft a fourni la solution de contournement suivante : désactiver l’installation de tous les contrôles ActiveX dans Internet Explorer.

Une mise à jour du registre Windows garantit que ActiveX est rendu inactif pour tous les sites, tandis que les contrôles ActiveX déjà disponibles continueront de fonctionner.

Les utilisateurs doivent enregistrer le fichier ci-dessous avec l’extension .REG et l’exécuter pour l’appliquer. Après un redémarrage du système, la nouvelle configuration doit être appliquée.

Comme les mises à jour ne sont pas encore disponibles pour CVE-2021-40444, ils ont publié la solution de contournement suivante qui empêche les contrôles ActiveX de s’exécuter dans Internet Explorer et les applications qui intègrent le navigateur.

Pour désactiver les contrôles ActiveX, veuillez suivre ces étapes:

1. Ouvrez le Bloc-notes et collez le texte suivant dans un fichier texte. Enregistrez ensuite le fichier sous le nom disable-activex.reg. Assurez-vous que l’affichage des extensions de fichiers est activé pour créer correctement le fichier de registre.

Alternativement, vous pouvez télécharger le fichier de registre à partir d’ici.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003

2. Recherchez le fichier disable-activex.reg nouvellement créé et double-cliquez dessus. Lorsqu’une invite UAC s’affiche, cliquez sur le bouton Oui pour importer les entrées du Registre.

3. Redémarrez votre ordinateur pour appliquer la nouvelle configuration.

Une fois votre ordinateur redémarré, les contrôles ActiveX seront désactivés dans Internet Explorer.

Lorsque Microsoft fournit une mise à jour de sécurité officielle pour cette vulnérabilité, vous pouvez supprimer ce correctif de registre temporaire en supprimant manuellement les clés de registre créées.

Alternativement, vous pouvez utiliser ce fichier reg pour supprimer automatiquement les entrées.

Laisser un commentaire