> Tous les forums > Forum Sécurité
 Internet Explorer zero-day peut être encore plus dangereux que prévuSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
miccmacc3
  Posté le 10/09/2021 @ 17:30 
Aller en bas de la page 
Maître astucien

Bonjour les amis

De nouveaux détails sur la récente vulnérabilité zero-day MSHTML ont encore effrayé les chercheurs en cybersécurité , après avoir vu des exploits dans la nature.

Suivi sous le nom CVE-2021-40444, Microsoft a récemment révélé la vulnérabilité du moteur de navigateur Trident d' Internet Explorer , également connu sous le nom de MSHTML, qui permet de rendre le contenu basé sur le navigateur dans les documents Microsoft Office .

Microsoft a pris soin de ne pas partager trop de détails sur la vulnérabilité encore non corrigée. Cependant, les chercheurs en sécurité se sont montrés plus ouverts après avoir analysé des documents Office malveillants utilisés dans des campagnes réelles.

BleepingComputer a partagé des détails sur la nature dangereuse de la vulnérabilité, qui peut contourner les mécanismes de protection intégrés dans Microsoft Office et Office 365 .

Faites preuve d'une extrême prudence

Dans un monde idéal, la fonctionnalité « Vue protégée » de Microsoft Office suffit à bloquer l'exploit, car elle existe dans les documents provenant d'Internet.

Cependant, l'analyste de vulnérabilité Will Dormann a déclaré à BleepingComputer qu'il existe plusieurs façons pour un document malveillant de contourner la vue protégée en masquant le fait qu'il provient d'Internet. Par exemple, les documents ouverts à partir de conteneurs internes tels que des archives zippées ou des fichiers ISO sont traités comme des fichiers locaux.

De plus, Dormann a découvert que vous pouviez également utiliser cette vulnérabilité dans les fichiers RTF, qui ne bénéficient pas des protections de la fonction Vue protégée.

Bien que Microsoft n'ait pas encore partagé de correctif pour corriger la vulnérabilité, il a partagé des atténuations pour empêcher les documents de traiter le contenu ActiveX, détruisant ainsi l'exploit.

Cependant, cela n'est pas d'une grande aide non plus, car le chercheur en sécurité Kevin Beaumont a déjà découvert un moyen de contourner les atténuations de Microsoft pour exploiter cette vulnérabilité.

Jusqu'à ce que Microsoft corrige la vulnérabilité, il est préférable d'éviter d'ouvrir des documents provenant de sources inconnues.

https://www.techradar.com/news/internet-explorer-zero-day-may-be-even-more-dangerous-than-first-thought



Modifié par miccmacc3 le 10/09/2021 17:34
Publicité
miccmacc3
 Posté le 10/09/2021 à 17:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

.../...

Les défenses zero-day de Windows MSHTML contournées

De nouveaux détails sont apparus sur la récente vulnérabilité zero-day de Windows CVE-2021-40444, comment elle est exploitée dans les attaques et l'objectif ultime de l'acteur de la menace de prendre le contrôle des réseaux d'entreprise.

Cette vulnérabilité d'exécution de code à distance MSHTML d'Internet Explorer, identifiée comme CVE-2021-40444, a été divulguée par Microsoft mardi mais avec peu de détails car elle n'a pas encore été corrigée.

La seule information partagée par Microsoft était que la vulnérabilité utilise des contrôles ActiveX malveillants pour exploiter Office 365 et Office 2019 sur Windows 10 afin de télécharger et d'installer des logiciels malveillants sur un ordinateur affecté.

Depuis lors, les chercheurs ont trouvé les documents Word malveillants utilisés dans les attaques et ont appris de nouvelles informations sur la façon dont la vulnérabilité est exploitée.

Pourquoi le zero-day CVE-2021-40444 est si critique

Depuis la publication de cette vulnérabilité, les chercheurs en sécurité se sont tournés vers Twitter pour avertir à quel point c'est dangereux, même si la fonctionnalité « Vue protégée » de Microsoft Office bloquera l'exploit.

Lorsqu'Office ouvre un document, il vérifie s'il est étiqueté avec une " Marque du Web " (MoTW), ce qui signifie qu'il provient d'Internet.

Si cette balise existe, Microsoft ouvrira le document en mode lecture seule, bloquant efficacement l'exploit à moins qu'un utilisateur ne clique sur les boutons « Activer la modification ».

Comme la fonctionnalité "Vue protégée" atténue l'exploit, nous avons contacté Will Dormann , un analyste des vulnérabilités pour CERT/CC, pour savoir pourquoi les chercheurs en sécurité sont si préoccupés par cette vulnérabilité.

Dormann a déclaré à BleepingComputer que même si l'utilisateur est initialement protégé via la fonction "Vue protégée" d'Office, l'histoire a montré que de nombreux utilisateurs ignorent cet avertissement et cliquent quand même sur le bouton "Activer la modification".

Dormann avertit également qu'il existe de nombreuses façons pour un document de ne pas recevoir le drapeau MoTW, annulant ainsi cette défense.

Microsoft a également partagé des atténuations d' pour empêcher les contrôles ActiveX de s'exécuter dans Internet Explorer, bloquant ainsi efficacement les attaques en cours.

Cependant, le chercheur en sécurité Kevin Beaumont a déjà découvert un moyen de contourner les mesures d'atténuation actuelles de Microsoft pour exploiter cette vulnérabilité.

Avec ces contournements et cas d'utilisation supplémentaires, CVE-2021-40444 est devenu encore plus sévère qu'on ne le pensait initialement.

L'une des pièces jointes malveillantes connues utilisées dans les attaques est nommée « Une lettre devant le tribunal 4.docx » [ VirusTotal ] et prétend être une lettre d'un avocat.

Étant donné que le fichier a été téléchargé à partir d'Internet, il sera marqué de la « Marque du Web » et ouvert en mode protégé, comme indiqué ci-dessous.

Une fois qu'un utilisateur clique sur le bouton « Activer l'édition », l'exploit ouvrira une URL utilisant le protocole « mhtml » vers un fichier « side.html » [ VirusTotal ] hébergé sur un site distant, qui est chargé en tant que modèle Word.

Comme les URL « mhtml » sont enregistrées dans Internet Explorer, le navigateur démarrera pour charger le code HTML et son code JavaScript obscurci exploitera la vulnérabilité CVE-2021-40444 en créant un contrôle ActiveX malveillant.

https://www.bleepingcomputer.com/news/microsoft/windows-mshtml-zero-day-defenses-bypassed-as-new-info-emerges/

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
28,99 €Clavier sans fil Microsoft All in One avec pad intégré à 28,99 €
Valable jusqu'au 03 Décembre

Amazon fait une promotion sur le clavier Microsoft All in One qui passe à 28,99 € au lieu de 39 €. Ce clavier sans fil (jusqu'à 9 mètres) est idéal pour piloter un ordinateur à distance puisqu'il intègre un touchpad pour contrôler également la souris. Léger, solide et résistant aux éclaboussures, il comporte de nombreuses touches multimédia personnalisables. Il est garanti 3 ans. La livraison est gratuite.


> Voir l'offre
299,00 €Casque sans fil à réduction de bruit Sony WH-1000XM4 (Hi-Res Audio, Bluetooth/NFC) à 299 €
Valable jusqu'au 03 Décembre

Amazon propose actuellement l'excellent casque sans fil à réduction de bruit et Hi-Res Audio Sony WH-1000XM3 à 299 €. On le trouve ailleurs à partir de 349 €. Equipé de l'annulation de bruit active, d'une connexion sans fil Bluetooth et NFC, d'un confort supérieur et d'une autonomie longue durée (30 heures), ce modèle vous accompagnera idéalement dans tous vos déplacements. Profitez d'une qualité acoustique Hi-Res Audio, de commandes tactiles intuitives et des assistants vocaux intégrés. Laissez-vous transporter au coeur des émotions de vos morceaux préférés et révolutionnez votre manière d'écouter la musique.


> Voir l'offre
51,99 €SSD WD Black SN750 500 Go (NMVe M.2, 3470 Mo/s) à 51,99 €
Valable jusqu'au 02 Décembre

Cdiscount fait une promotion sur le SSD WD Black SN750 500 Go (NMVe M.2) qui passe à 51,99 € alors qu'on le trouve ailleurs à partir de 80 €. Ce SSD utilise une interface M.2 NVMe PCIe Gen3 x 4 pour une connexion simple et des performances exceptionnelles : jusqu’à 3 470 Mo/s en lecture séquentielle et jusqu’à 3 000 Mo/s en écriture séquentielle. Le SSD est doté de la technologie 3D TLC NAND haute densité offrant une endurance d’écriture durable et assorti d’une garantie de cinq ans.


> Voir l'offre

Sujets relatifs
Violation de données...toujours et encore ,un outil peut etre ???
internet explorer ne peut pas ouvrir le site .....
Une faille 0-day d’Internet Explorer vieille de 7 mois non corrigée
Nouveau bug zero-day dans Internet Explorer 9 et 10
Vulnérabilités 0-day dans Internet Explorer sous XP ou W7
Faille 0-day dans Internet Explorer
Faille zero day dans Internet Explorer 8
Internet explorer ne peut pas afficher cette page web
Ca Craint bugs, internet explorer ne peut pas affi
Et encore "Internet Explorer"
Plus de sujets relatifs à Internet Explorer zero-day peut être encore plus dangereux que prévu
 > Tous les forums > Forum Sécurité