Vulnérabilité Zero-Day Ciblant les Utilisateurs de Windows Avec des Documents Microsoft Office

Microsoft a publié mardi un avis de sécurité identifiant une vulnérabilité d’exécution de code à distance dans MSHTML qui affecte Microsoft Windows en utilisant des documents Microsoft Office spécialement conçus.

Suivie sous le nom CVE-2021-40444 (score CVSS : 8.8), cette vulnérabilité d’exécution de code à distance est intégrée dans MSHTML (également connu sous le nom de Trident), un moteur de navigateur propriétaire pour la version Microsoft Windows d’Internet Explorer, et affecte Windows Server 2008 à 2019 et Windows 8.1 à 10.

« Un attaquant pourrait créer un contrôle ActiveX malveillant à utiliser par un document Microsoft Office qui héberge le moteur de rendu du navigateur. L’attaquant devrait ensuite convaincre l’utilisateur d’ouvrir le document malveillant », a déclaré la société dans l’avis de sécurité.

« Les utilisateurs dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système pourraient être moins impactés que les utilisateurs qui opèrent avec des droits d’utilisateur administratifs. »

Selon la société, à la fois leur Microsoft Defender Antivirus et Microsoft Defender for Endpoint fournissent détection et protection pour la vulnérabilité connue. Elle a conseillé à ses clients de garder leurs produits antimalware à jour et ceux qui utilisent des mises à jour automatiques n’ont pas besoin de prendre d’autres mesures.

Les clients d’entreprise qui gèrent les mises à jour devraient sélectionner la version de détection 1.349.22.0 ou plus récente et la déployer dans leurs environnements. Les alertes de Microsoft Defender for Endpoint seront affichées comme : « Exécution de fichier Cpl suspecte ».

Microsoft a déclaré qu’à l’issue de l’enquête, elle prendra les mesures appropriées pour aider à protéger ses clients, ce qui pourrait inclure la fourniture d’une mise à jour de sécurité dans le cadre de notre processus de publication mensuel ou la fourniture d’une mise à jour de sécurité hors cycle, en fonction des besoins des clients.

Le géant de Redmond a crédité Rick Cole du Microsoft Threat Intelligence Center (MSTIC), Dhanesh Kizhakkinan, Bryce Abdo et Genwei Jiang de Mandiant, et Haifei Li d’EXPMON, pour la découverte de la vulnérabilité.

Andrew Thompson, analyste des menaces chez Mandiant, a noté que « des détections robustes axées sur le comportement post-exploitation sont un filet de sécurité qui vous permet de détecter des intrusions impliquant une exploitation de jour zéro. »

EXPMON a déclaré dans un tweet qu’ils avaient détecté une « attaque zero-day hautement sophistiquée » ciblant les utilisateurs de Microsoft Office.

« Nous avons reproduit l’attaque sur le dernier Office 2019/Office 365 sur Windows 10 (environnement utilisateur typique), pour toutes les versions affectées, veuillez lire l’avis de sécurité de Microsoft. L’exploit utilise des défauts logiques, donc l’exploitation est parfaitement fiable (& dangereuse) », a tweeté la société.

Pendant ce temps, Microsoft n’a pas divulgué d’informations sur la nature des attaques, leurs cibles ou l(es) attaquant(s) exploitant cette vulnérabilité zero-day au public.

En ce qui concerne les atténuations et les solutions de contournement, Microsoft a suggéré de désactiver l’installation de tous les contrôles ActiveX dans Internet Explorer, ce qui peut être accompli pour tous les sites en mettant à jour le registre.

« Les contrôles ActiveX précédemment installés continueront de fonctionner, mais n’exposent pas cette vulnérabilité », a déclaré l’avis.

« Si vous utilisez l’Éditeur de registre de manière incorrecte, vous pourriez causer des problèmes graves qui pourraient nécessiter la réinstallation de votre système d’exploitation. Microsoft ne peut garantir que vous pouvez résoudre les problèmes résultant d’une utilisation incorrecte de l’Éditeur de registre. »

Pour désactiver les contrôles ActiveX sur un système individuel :

2. Pour désactiver l’installation des contrôles ActiveX dans Internet Explorer dans toutes les zones, collez ce qui suit dans un fichier texte et enregistrez-le avec l’extension de fichier .reg :

| | Éditeur de registre Windows Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“1001”=dword:00000003
“1004”=dword:00000003 | |

2. Double-cliquez sur le fichier .reg pour l’appliquer à votre ruche de stratégie.

3. Redémarrez le système pour vous assurer que la nouvelle configuration est appliquée.

Cette solution de contournement définit URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) et URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) sur DÉSACTIVÉ (3) pour toutes les zones Internet pour les processus 64 bits et 32 bits.

De nouveaux contrôles ActiveX ne seront pas installés et les contrôles ActiveX précédemment installés continueront de fonctionner.