Microsoft met en garde contre Internet Explorer zero-day, mais pas encore de correctif

Microsoft a publié aujourd’hui un avis de sécurité sur une vulnérabilité d’Internet Explorer (IE) qui est actuellement exploitée dans la nature – un soi-disant zero-day.

L’avis de sécurité de l’entreprise (ADV200001) ne comprend actuellement que des solutions de contournement et des mesures d’atténuation pouvant être appliquées afin de protéger les systèmes vulnérables contre les attaques.

Au moment de la rédaction, il n’y a pas de correctif pour ce problème. Microsoft a déclaré qu’il travaillait sur un correctif, qui sera publié à une date ultérieure.

Alors que Microsoft a déclaré qu’il était conscient que l’IE zero-day était exploité dans la nature, la société les a décrits comme des “attaques ciblées limitées”, suggérant que le zero-day n’était pas largement exploité, mais plutôt qu’il faisait partie d’attaques visant un petit nombre d’utilisateurs.

On pense que ces attaques limitées IE zero-day font partie d’une campagne de piratage plus vaste, qui implique également des attaques contre les utilisateurs de Firefox.

Connecté au Firefox zero-day de la semaine dernière

La semaine dernière, Mozilla a corrigé un zero-day similaire qui était exploité pour attaquer les utilisateurs de Firefox. Mozilla a crédité Qihoo 360 pour avoir découvert et signalé le Firefox zero-day.

Dans un tweet désormais supprimé, la société chinoise de cybersécurité a déclaré que les attaquants exploitaient également un Internet Explorer zero-day. Cela semble être le jour zéro que les chercheurs de Qihoo 360 ont mentionné à l’époque.

Aucune information n’a été partagée sur l’attaquant ou la nature des attaques. Qihoo 360 n’a pas retourné de demande de commentaire pour obtenir des informations sur les attaques.

RCE dans IE

Au niveau technique, Microsoft a décrit cet IE zero-day comme une faille d’exécution de code à distance (RCE) causée par un bug de corruption de mémoire dans le moteur de script d’IE – le composant de navigateur qui gère le code JavaScript.

Voici la description technique de Microsoft de ce jour zéro:

Une vulnérabilité d’exécution de code à distance existe dans la manière dont le moteur de script gère les objets en mémoire dans Internet Explorer. La vulnérabilité pourrait corrompre la mémoire de telle sorte qu’un attaquant pourrait exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Un attaquant qui a réussi à exploiter la vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. Si l’utilisateur actuel est connecté avec des droits d’utilisateur administratifs, un attaquant qui a réussi à exploiter la vulnérabilité pourrait prendre le contrôle d’un système affecté. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes avec tous les droits d’utilisateur.

Dans un scénario d’attaque basé sur le Web, un attaquant pourrait héberger un site Web spécialement conçu pour exploiter la vulnérabilité via Internet Explorer, puis convaincre un utilisateur de consulter le site Web, par exemple en envoyant un e-mail.

Toutes les versions de système d’exploitation de bureau et de serveur Windows prises en charge sont touchées, a déclaré Microsoft.

Ce jour zéro IE RCE est également suivi en tant que CVE-2020-0674.

Microsoft a corrigé deux jours zéro IE similaires en septembre et novembre 2019. Bien qu’IE ne soit plus le navigateur par défaut dans les dernières versions du système d’exploitation Windows, le navigateur est toujours installé avec le système d’exploitation. Les utilisateurs des anciennes versions de Windows sont ceux qui sont principalement à risque.