Windows: Les défenses de MSHTML contournées à mesure que de nouvelles informations apparaissent

0

De nouveaux détails sont apparus sur la récente vulnérabilité zero-day de Windows (CVE-2021-40444), comment elle est exploitée dans les attaques et l’objectif ultime du pirate informatique de prendre le contrôle des réseaux d’entreprise.

Cette vulnérabilité d’exécution de code à distance du MSHTML d’Internet Explorer, identifiée comme CVE-2021-40444, a été divulguée par Microsoft récemment mais avec peu de détails car elle n’a pas encore été corrigée.

La seule information partagée par Microsoft était que la vulnérabilité utilise des contrôles ActiveX malveillants pour exploiter Office 365 et Office 2019 sur Windows 10 afin de télécharger et d’installer des logiciels malveillants sur un ordinateur affecté.

Depuis lors, les chercheurs ont trouvé les documents Word malveillants utilisés dans les attaques et ont appris de nouvelles informations sur la façon dont la vulnérabilité est exploitée.

Pourquoi le zero-day CVE-2021-40444 est si critique?

Depuis la publication de cette vulnérabilité, les chercheurs en sécurité se sont tournés vers Twitter pour avertir à quel point c’est dangereux, même si la fonctionnalité « Vue protégée » de Microsoft Office bloquera l’exploit.

Lorsqu’Office ouvre un document, il vérifie s’il est étiqueté avec une « Mark of The Web » (MoTW), ce qui signifie qu’il provient d’Internet.

Si cette balise existe, Microsoft ouvrira le document en mode lecture seule, bloquant efficacement l’exploit à moins qu’un utilisateur ne clique sur les boutons « Activer la modification ».

windows vue protégée
Document Word ouvert en mode protégé

Comme la fonctionnalité « Vue protégée » atténue l’exploit, l’analyste des vulnérabilités pour CERT/CC, Will Dormann, a expliqué pourquoi les chercheurs en sécurité sont si préoccupés par cette vulnérabilité.

Dormann a déclaré que même si l’utilisateur est initialement protégé via la fonction « Vue protégée » d’Office, l’histoire a montré que de nombreux utilisateurs ignorent cet avertissement et cliquent quand même sur le bouton « Activer la modification ».

Dormann avertit également qu’il existe de nombreuses façons pour un document de ne pas recevoir le flag MoTW, annulant ainsi cette défense.

« Si le document se trouve dans un conteneur traité par quelque chose qui n’est pas compatible avec MotW, le fait que le conteneur a été téléchargé depuis Internet sera sans objet. Par exemple, si 7Zip ouvre une archive provenant d’Internet, le contenu extrait n’aura aucune indication qu’il provient d’Internet. Donc pas de MotW, pas de vue protégée. »

« De même, si le document se trouve dans un conteneur comme un fichier ISO, un utilisateur Windows peut simplement double-cliquer sur l’ISO pour l’ouvrir. Mais Windows ne considère pas le contenu comme provenant d’Internet. Encore une fois, pas de MotW , pas de vue protégée. »

« Cette attaque est plus dangereuse que les macros car toute organisation qui a choisi de désactiver ou de limiter l’exécution des macros sera toujours ouverte à l’exécution de code arbitraire simplement à la suite de l’ouverture d’un document Office. » – Will Dormann

Pour aggraver les choses, Dormann a découvert que vous pouviez utiliser cette vulnérabilité dans les fichiers RTF, qui ne bénéficient pas de la fonctionnalité de sécurité d’affichage protégé d’Office.

Microsoft a également partagé des mesures d’atténuation pour empêcher les contrôles ActiveX de s’exécuter dans Internet Explorer, bloquant ainsi efficacement les attaques en cours.

Cependant, le chercheur en sécurité Kevin Beaumont a déjà découvert un moyen de contourner les mesures d’atténuation actuelles de Microsoft pour exploiter cette vulnérabilité.

Avec ces contournements et cas d’utilisation supplémentaires, CVE-2021-40444 est devenu encore plus sévère qu’on ne le pensait initialement.

Comment CVE-2021-40444 est actuellement utilisé dans les attaques?

Bien que nous ne disposions pas des e-mails de phishing utilisés dans les attaques, Beaumont a analysé le document Word malveillant pour mieux comprendre le fonctionnement de l’exploit.

L’une des pièces jointes malveillantes connues utilisées dans les attaques est nommée « Une lettre devant le tribunal 4.docx » [VirusTotal] et prétend être une lettre d’un avocat.

Étant donné que le fichier a été téléchargé à partir d’Internet, il sera marqué de la « Marque du Web » et ouvert en mode protégé, comme indiqué ci-dessous.

document microsoft word malveillant
Document Word malveillant pour l’exploit de CVE-2021-40444

Une fois qu’un utilisateur clique sur le bouton « Activer l’édition », l’exploit ouvrira une URL utilisant le protocole « mhtml » vers un fichier « side.html » [VirusTotal] hébergé sur un site distant, qui est chargé en tant que modèle Word.

Comme les URL « mhtml » sont enregistrées dans Internet Explorer, le navigateur démarrera pour charger le code HTML et son code JavaScript obscurci exploitera la vulnérabilité CVE-2021-40444 en créant un contrôle ActiveX malveillant.

windows mshtml
JavaScript obscurci dans le fichier side.html

Ce contrôle ActiveX téléchargera un fichier Ministry.cab [VirusTotal] à partir d’un site distant, extraira un fichier Championship.inf [VirusTotal] (en fait une DLL) et l’exécutera en tant que fichier ‘CPL’ du Panneau de configuration, comme illustré dans l’image ci-dessous à partir d’un rapport de Trend Micro.

windows
Exécution des fichiers Championship.inf en tant que fichier CPL

TrendMicro déclare que la charge utile ultime consiste à installer une balise Cobalt Strike, qui permettrait au pirate informatique d’accéder à distance à l’appareil.

Une fois que l’attaquant obtient un accès à distance aux ordinateurs des victimes, il peut l’utiliser pour se propager latéralement sur tout le réseau et installer d’autres logiciels malveillants, voler des fichiers ou déployer un ransomware.

En raison de la gravité de cette vulnérabilité, il est fortement conseillé aux utilisateurs d’ouvrir uniquement les pièces jointes à moins qu’elles ne proviennent d’une source fiable.

Laisser un commentaire