Le dernier zero-day microsoft activement exploité

Les analystes de sécurité mettent une fois de plus en garde contre une autre vulnérabilité zero-day dans les produits Microsoft après l’apparition de rapports faisant état d’une exploitation active de CVE-2021-40444, une vulnérabilité d’exécution de code à distance (RCE) dans le composant MSHTML d’Internet Explorer (IE) sur Windows 10 et plusieurs versions de Windows Server.

Le zero-day a été découvert par des chercheurs d’EXPMON et de Mandiant, et peut être exploité en faisant un contrôle ActiveX malveillant à utiliser par un document Microsoft Office 365 qui héberge MSHTML (alias Trident), le moteur de rendu utilisé par IE et remplacé par EdgeHTML dans le nouveau navigateur Edge. Il n’y a actuellement aucun correctif disponible.

Étant donné que les documents Office téléchargés à partir d’Internet sont ouverts en mode protégé ou dans Application Guard, qui atténuent tous deux l’attaque, une exploitation réussie doit dépendre de la conviction de la cible d’ouvrir le document malveillant, auquel cas la vulnérabilité sera déclenchée et un fichier malveillant téléchargé sur le système de la victime.

Les chercheurs de Trend Micro qui ont suivi l’exploitation et obtenu un certain nombre d’échantillons de documents à analyser ont déclaré qu’à l’heure actuelle, CVE-2021-40444 est utilisé pour livrer des charges utiles Cobalt Strike – presque toujours un précurseur d’une cyberattaque plus large.

Dans un blog consultatif, l’équipe de Trend a déclaré: « Nous réitérons notre conseil de longue date d’éviter d’ouvrir des fichiers provenant de sources inattendues, ce qui pourrait réduire considérablement le risque de cette menace car elle oblige l’utilisateur à ouvrir le fichier malveillant. »

Dans un avis de sécurité, Microsoft a déclaré que ses produits Defender Antivirus et Defender for Endpoint seront également en mesure de détecter et de protéger contre CVE-2021-40444 tant qu’ils sont à jour. Ceux qui gèrent les mises à jour doivent sélectionner la version de détection 1.349.22.0 ou plus récente et la déployer dès que possible. L’analyse utilisateur atténue également la menace en désactivant l’installation de tous les contrôles ActiveX dans IE.

Dans un communiqué, Microsoft a déclaré: « À la fin de cette enquête, Microsoft prendra les mesures appropriées pour aider à protéger nos clients. Cela peut inclure la fourniture d’une mise à jour de sécurité via notre processus de publication mensuel ou la fourniture d’une mise à jour de sécurité hors cycle, en fonction des besoins du client.

Payman Armin, RSSI de Veritas, a commenté : « La cybersécurité est le jeu ultime du chat et de la souris – les éditeurs de logiciels corrigent un trou et les mauvais acteurs en trouvent un autre à traverser.

« Le problème est aggravé par le fait qu’il faut du temps pour développer des correctifs de sécurité qui s’installent correctement et ne cassent rien. Microsoft travaille sans aucun doute fébrilement pour corriger cette nouvelle vulnérabilité MSHTML. En attendant, les organisations doivent s’appuyer sur des logiciels de sécurité pour empêcher l’exploitation qui, plus souvent que nous ne le souhaiteons, laisse passer les ransomwares et autres attaques réussies contre l’intégrité des données à travers ses mailles du filet.

« Ainsi, bien que les logiciels de sécurité soient toujours une bonne première ligne de défense, y compris en attendant les correctifs, les entreprises doivent fonctionner en supposant qu’ils peuvent être contournés.

« Dans le paysage de la sécurité d’aujourd’hui, chaque organisation a besoin d’un plan de sauvegarde, qui doit inclure une protection complète des données pour rebondir rapidement lorsque des ransomwares ou d’autres menaces aux données s’en font irruption. »

Sam Curry de Cybereason a déclaré que cela pourrait sembler être la saison ouverte sur Les zero-days de Microsoft en ce moment, mais étant donné le statut de Microsoft parmi les sociétés de logiciels les plus omniprésentes au monde, ce n’était guère une surprise.

« Si vous êtes un attaquant et que vous voulez des victimes, vous vous en prendrez à la plus grande empreinte », a-t-il déclaré. « Cependant, la réponse n’est pas d’utiliser des logiciels plus obscurs. Au lieu de cela, la leçon a été claire avec les attaques SolarWinds et Hafnium : déployez des logiciels, mais réalisez que vous prêtez confiance au fournisseur. Supposons que même les fournisseurs et les logiciels de confiance peuvent être compromis.

« Par conséquent, soyez doué pour limiter les dommages, détecter quand un logiciel est abusé pour faire des choses qu’il ne devrait pas faire, et devenir excellent pour trouver cela et le conclure. Microsoft devrait par tous les moyens faire tout ce qui est en son pouvoir pour réduire l’incidence de ceux-ci, mais la sécurité doit supposer que tout fournisseur peut être compromis et être préparé à cette éventualité.

L’émergence de CVE-2021-40444 est la deuxième fois en autant de mois que des jours zéro sont trouvés dans MSHTML. Dans son patch tuesday d’août 2021, Microsoft a corrigé CVE-2021-34354, une faille critique dans MSHTML, qui a également activé RCE sur les systèmes compromis. L’exploitation réussie de ce bogue nécessite une attaque quelque peu complexe qui, comme -40444, nécessite que l’acteur de la menace interagisse avec l’utilisateur.