Microsoft alerte les utilisateurs sur la découverte d'une faille zero-day dans Internet Explorer qui permet à un attaquant de prendre le contrôle total de Windows,
Aucun correctif n'est disponible
Le 2020-01-20 20:16:57, par Olivier Famien, Chroniqueur Actualités
Microsoft vient d’annoncer la découverte d’une nouvelle faille de type zero-day dans son navigateur Internet Explorer (IE). Selon les déclarations de l’entreprise, cette vulnérabilité se situerait au niveau de la manière dont le moteur de script du navigateur gère les objets en mémoire. En effet, lorsqu’un code malveillant est exécuté à distance dans Internet Explorer, cela aurait pour effet de corrompre la mémoire de telle manière qu’un attaquant pourrait exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Et si un attaquant parvenait à exploiter cette vulnérabilité, il « pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur en cours. Si l’utilisateur en cours est connecté avec des droits d’administrateur, un attaquant, le tiers malveillant pourrait prendre le contrôle du système affecté. Ainsi, il pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou même créer de nouveaux comptes avec des droits d’utilisateur complets ».
Pour mener son attaque à distance, l’attaquant pourrait par exemple héberger un site Web intégrant du code spécialement conçu pour exploiter la faille découverte dans IE, puis convaincre un utilisateur d’afficher un document HTML, ou simplement le persuader d’afficher un fichier PDF, un document Microsoft Office ou tout autre document prenant en charge le contenu du moteur de script Internet Explorer intégré. Ce bogue qui porte la référence de faille CVE-2020-0674 affecte les versions 9, 10 et 11 du navigateur pour les versions 7, 8.x, 10, de Windows ainsi que Windows Server 2008, 2012, 2016 et 2019. Microsoft précise également qu’il est conscient du nombre limité d’attaques ciblées menées contre les utilisateurs en exploitant cette faille.
Toutefois, bien que la vulnérabilité ait été classée comme critique pour Windows 7, 8.x et 10, sur les différentes versions de Windows Server, elle a été classée comme une vulnérabilité modérée. Cela, à cause du fait que sur les différentes versions de Windows Server, Internet Explorer s’exécute dans un mode restreint appelé Configuration de sécurité renforcée. Il s’agit en fait d’un groupe de paramètres préconfigurés qui peut réduire la probabilité qu’un utilisateur ou un administrateur télécharge et exécute du contenu Web spécialement conçu sur un serveur. Selon Microsoft, cette fonctionnalité permet d’atténuer le risque d’exploitation de cette faille sur Windows Server.
Si cela ne vous convainc pas, Microsoft propose également pour tous les utilisateurs une solution de contournement pour tous ceux qui souhaitent se mettre à l’abri de cette faille en attendant la publication d’un correctif. Cette solution consiste à bloquer l’accès à la bibliothèque jscript.dll qui est une bibliothèque qui fournit sur Windows une compatibilité pour exécuter les scripts sur certains sites Web. Le blocage de l’accès à cette bibliothèque permet donc d’éviter l’exploitation de cette vulnérabilité et des vulnérabilités similaires qui peuvent être présentes dans cette bibliothèque. Mais cela ne devrait pas poser de problème pour le fonctionnement d’Internet Explorer, car pour ceux qui utilisent encore IE pour parcourir le Web moderne, la bibliothèque jscript9.dll qui n’est pas affectée par cette vulnérabilité est utilisée par défaut.
Pour restreindre l’accès à la bibliothèque jscript.dll, il faut saisir les commandes suivantes dans l’invite de commandes :
Sur les systèmes 32 bits :
Sur les systèmes 64 bits:
Selon Microsoft, « l’implémentation de ces étapes peut entraîner une réduction des fonctionnalités des composants ou des fonctionnalités qui dépendent de jscript.dll. Par exemple, selon l’environnement, cela peut inclure des configurations client qui exploitent des scripts de configuration automatique de proxy (scripts PAC). Ces fonctionnalités et d’autres peuvent être affectées ». Si ces fonctionnalités qui pourraient en être affectées ne vous concernent pas, alors vous pouvez exécuter ces commandes sans problèmes, si bien entendu, vous estimez que vous courez un risque élevé.
Comme nous l’avons signifié, aucun correctif n’est encore disponible. Mais Microsoft rassure en expliquant qu’il travaille à cela. L’entreprise ajoute ceci : « Notre politique standard consiste à publier les mises à jour de sécurité le mardi de mise à jour, le deuxième mardi de chaque mois. Ce calendrier prévisible permet l’assurance qualité des partenaires et la planification informatique, ce qui permet de maintenir l’écosystème Windows comme un choix fiable et sécurisé pour nos clients ». Il est donc fort probable que le correctif soit intégré dans le Patch Tuesday du mois prochain. Mais ce correctif pourrait ne pas concerner les utilisateurs de Windows 7, car Microsoft vient de mettre fin au support de ce système. D’ici la sortie du patch, les utilisateurs d’Internet Explorer devraient faire attention aux sites visités et aux documents ouverts ou simplement bloquer l’accès à bibliothèque jscript.
Source : Microsoft
Et vous ?
Voir aussi
Pour mener son attaque à distance, l’attaquant pourrait par exemple héberger un site Web intégrant du code spécialement conçu pour exploiter la faille découverte dans IE, puis convaincre un utilisateur d’afficher un document HTML, ou simplement le persuader d’afficher un fichier PDF, un document Microsoft Office ou tout autre document prenant en charge le contenu du moteur de script Internet Explorer intégré. Ce bogue qui porte la référence de faille CVE-2020-0674 affecte les versions 9, 10 et 11 du navigateur pour les versions 7, 8.x, 10, de Windows ainsi que Windows Server 2008, 2012, 2016 et 2019. Microsoft précise également qu’il est conscient du nombre limité d’attaques ciblées menées contre les utilisateurs en exploitant cette faille.
Toutefois, bien que la vulnérabilité ait été classée comme critique pour Windows 7, 8.x et 10, sur les différentes versions de Windows Server, elle a été classée comme une vulnérabilité modérée. Cela, à cause du fait que sur les différentes versions de Windows Server, Internet Explorer s’exécute dans un mode restreint appelé Configuration de sécurité renforcée. Il s’agit en fait d’un groupe de paramètres préconfigurés qui peut réduire la probabilité qu’un utilisateur ou un administrateur télécharge et exécute du contenu Web spécialement conçu sur un serveur. Selon Microsoft, cette fonctionnalité permet d’atténuer le risque d’exploitation de cette faille sur Windows Server.
Si cela ne vous convainc pas, Microsoft propose également pour tous les utilisateurs une solution de contournement pour tous ceux qui souhaitent se mettre à l’abri de cette faille en attendant la publication d’un correctif. Cette solution consiste à bloquer l’accès à la bibliothèque jscript.dll qui est une bibliothèque qui fournit sur Windows une compatibilité pour exécuter les scripts sur certains sites Web. Le blocage de l’accès à cette bibliothèque permet donc d’éviter l’exploitation de cette vulnérabilité et des vulnérabilités similaires qui peuvent être présentes dans cette bibliothèque. Mais cela ne devrait pas poser de problème pour le fonctionnement d’Internet Explorer, car pour ceux qui utilisent encore IE pour parcourir le Web moderne, la bibliothèque jscript9.dll qui n’est pas affectée par cette vulnérabilité est utilisée par défaut.
Pour restreindre l’accès à la bibliothèque jscript.dll, il faut saisir les commandes suivantes dans l’invite de commandes :
Sur les systèmes 32 bits :
| Code bat : |
1 2 | takeown /f %windir%\system32\jscript.dll cacls %windir%\system32\jscript.dll /E /P everyone:N |
Sur les systèmes 64 bits:
| Code bat : |
1 2 3 | takeown /f %windir%\syswow64\jscript.dll cacls %windir%\syswow64\jscript.dll /E /P everyone:N takeown /f %windir%\system32\jscript.dll cacls %windir%\system32\jscript.dll /E /P everyone:N |
Selon Microsoft, « l’implémentation de ces étapes peut entraîner une réduction des fonctionnalités des composants ou des fonctionnalités qui dépendent de jscript.dll. Par exemple, selon l’environnement, cela peut inclure des configurations client qui exploitent des scripts de configuration automatique de proxy (scripts PAC). Ces fonctionnalités et d’autres peuvent être affectées ». Si ces fonctionnalités qui pourraient en être affectées ne vous concernent pas, alors vous pouvez exécuter ces commandes sans problèmes, si bien entendu, vous estimez que vous courez un risque élevé.
Comme nous l’avons signifié, aucun correctif n’est encore disponible. Mais Microsoft rassure en expliquant qu’il travaille à cela. L’entreprise ajoute ceci : « Notre politique standard consiste à publier les mises à jour de sécurité le mardi de mise à jour, le deuxième mardi de chaque mois. Ce calendrier prévisible permet l’assurance qualité des partenaires et la planification informatique, ce qui permet de maintenir l’écosystème Windows comme un choix fiable et sécurisé pour nos clients ». Il est donc fort probable que le correctif soit intégré dans le Patch Tuesday du mois prochain. Mais ce correctif pourrait ne pas concerner les utilisateurs de Windows 7, car Microsoft vient de mettre fin au support de ce système. D’ici la sortie du patch, les utilisateurs d’Internet Explorer devraient faire attention aux sites visités et aux documents ouverts ou simplement bloquer l’accès à bibliothèque jscript.
Source : Microsoft
Et vous ?
Voir aussi
-
vanquishMembre chevronnéLe hacker ne va pas cibler M.Lambert, mais des pages web mal protégés dans lesquels il va injecter un script.
Toute personne qui visitera ces pages, y compris (je dirais même surtout) M. Lambert peut donc devenir une cible.
La plupart du temps, les hackers ne font pas des attaques ciblés.
Ils utilisent de robots qui scanne toutes les IP à la recherche d'une cible mal protégés.
Mes serveurs reçoivent des centaines d'attaques de ce type tous les jours.
Quand on essaie de se loguer sur la page d'admin de Wordpress d'un système qui n'a ni Wordpress, ni même PHP, c'est qu'on cible moyen.
Sans tomber dans la paranoïa, il convient donc de rester prudent et informé.
Ceci dit, entre le taux d'utilisation d'IE et le nombre de chance de justement surfé sur une page infecté, le risque reste faible et on comprend que MS attende le prochain patch mensuel.
Et puisqu'on a eu droit au troll Linux (pas toi denzwell), je lui conseille cette page :
https://www.exploit-db.com/?platform=linuxle 21/01/2020 à 8:47 -
meduimFutur Membre du ClubMicrosoft pousse Edge via Windows Update, ce serait l’occasion pour eux de se débarrasser d'Internet Explorer pendant la mise à jour.... Il est de toute façon obsolète et préhistorique.....
Beaucoup de client utilise encore Internet Explorer, car de vieux site qu'il ont absolument de besoin sont uniquement accesible avec ie.le 20/01/2020 à 22:23 -
kilroyFRMembre éprouvéSur windows 2019 server il n'y a mee pas edge mais IE11. une heresiele 20/01/2020 à 23:39
-
SteinvikelMembre expertou uMatrix + uBlock Origin
Malheureusement, quand du JS tourne sur un document MS Office, ces extensions ne serve à rien. ^^'le 21/01/2020 à 16:08 -
remailaFutur Membre du ClubSlt mais si la personne n'utilise pas (IE) est ce que elle est exposé aussi ?le 20/01/2020 à 21:29
-
MetalmanMembre expertD'après ce que je lis : Oui, s'il s'agit d'un document office utilisant le moteur d'exécution de scripts...le 20/01/2020 à 22:19
-
ZeflingExpert confirméDans ses 3 %, il y a des vieux dinosaures qui ne se mettent pas à jour, et je peux te dire que c'est une cible très intéressante.le 21/01/2020 à 1:23
-
dragonofmercyMembre régulierNon non c'est bien juste le Edge Chromium s'appelle bien Edge, l'ancien Edge a été renommé Edge Legacy
https://support.microsoft.com/en-us/...ft-edge-legacyle 21/01/2020 à 7:14 -
AiekickMembre extrêmement actifd'ou la nécessité de toujours avoir un bloqueur de script js (avec des regels par nom de domaine ou plus), comme noscript sur firefoxle 21/01/2020 à 12:28
-
cd090580Membre avertiMicrosoft pousse Edge via Windows Update, ce serait l’occasion pour eux de se débarrasser d'Internet Explorer pendant la mise à jour.... Il est de toute façon obsolète et préhistorique.....le 20/01/2020 à 22:05