Microsoft a confirmé le 7 septembre 2021 qu'une vulnérabilité d'exécution de code à distance (RCE) s'était produite dans Windows 10. Cette vulnérabilité, classée CVE-2021-40444 [1], peut permettre aux cybercriminels de prendre le contrôle à distance d'un système compromis et de créer des attaques de type "zero-day" dans la nature.
Le défaut se situe au niveau de MSHTML, un moteur de rendu du navigateur Internet Explorer. Le moteurest également utilisé dans les documents Microsoft Office. La CVE-2021-40444 est actuellement connue pour être utilisée pour livrer des charges utiles Cobalt Strike, un cadre d'émulation de menaces couramment exploité.
Un chercheur d'EXPMON a identifié ce zero-day pour la première fois dans un tweet, en déclarant : "Les utilisateurs d'Office doivent être extrêmement prudents en ce qui concerne les fichiers Office". Il a signalé l'incident à Microsoft le dimanche 5 septembre. Microsoft a également publié un avis de sécurité peu de temps après, suggérant des solutions de contournement pendant que l'entreprise enquêtait. Le 14 septembre, Microsoft a corrigé la vulnérabilité [2].
Comment les attaquants exploitent CVE-2021-40444
Les cybercriminels peuvent créer un contrôle ActiveX malveillant à l'intérieur d'un document Microsoft Office (.docx). Ce document sert d'hôte au moteur de rendu du navigateur MSTHML et à un OLEObject qui dirige vers une page web construite.
L'attaquant doit alors tromper sa cible pour qu'elle ouvre ce document. À l'ouverture, le moteur MSTHML utilisera le contrôle ActiveX pour exécuter un fichier HTML avec des scripts obscurcis, suivi par le téléchargement de charges utiles de logiciels malveillants ou de commandes d'accès à distance.
Microsoft a noté que les utilisateurs disposant de droits d'administrateur sont plus susceptibles de subir de telles attaques que ceux qui n'ont pas de droits d'utilisateur ou qui en ont moins.
Atténuation et solution de contournement
Microsoft a indiqué que la désactivation de toutes les installations de contrôle ActiveX dans Internet Explorer peut contribuer à atténuer les attaques actuelles. Pour ce faire, il suffit de configurer la stratégie de groupe en mettant à jour le registre ou en utilisant l'éditeur de stratégie de groupe local.Après la désactivation, les nouveaux contrôles ActiveX ne seront pas installés et les contrôles ActiveX précédents continueront à fonctionner.
Comment le Deep CDR peut protéger contre les attaques de type Zero-Day
Le désarmement et la reconstruction du contenu (CDR) peuvent contribuer à atténuer les risques liés à cette vulnérabilité. Deep CDR suppose que tous les fichiers sont malveillants, puis assainit et reconstruit les composants des fichiers pour garantir une utilisation complète avec un contenu sûr. Cette technologie permet de "désarmer" efficacement toutes les menaces basées sur des fichiers, les menaces complexes et compatibles avec les bacs à sable, ainsi que les menaces dotées d'une technologie d'évasion des logiciels malveillants, comme les logiciels malveillants totalement indétectables ou l'obscurcissement.
Dans ce cas, la technologie Deep CDR supprime tous les objets de menace potentiels tels que OLEObject et ActiveX du fichier de document. Après l'assainissement, le document ne contient plus le lien HTML malveillant.
Les menaces détectées par MetaDefender Cloud ont été analysées et les résultats permettent d'effectuer des actions de nettoyage :
Après l'assainissement, les résultats montrent que l'OLEObject a été supprimé et que le fichier peut être ouvert en toute sécurité :
À propos de Deep CDR
La technologieDeep CDR est leader sur le marché avec des fonctionnalités supérieures telles que le traitement d'archives à plusieurs niveaux, la précision de la régénération des fichiers et la prise en charge de plus de 100 types de fichiers. Notre technologie fournit des vues approfondies de ce qui est assaini et de la manière dont les données sont assainies, ce qui vous permet de faire des choix éclairés et de définir des configurations pour répondre à vos cas d'utilisation. Le résultat ? Des fichiers sûrs avec 100 % des menaces éliminées en quelques millisecondes, pour que votre flux de travail ne soit pas interrompu.
Pour en savoir plus sur le Deep CDR et sur la façon dont OPSWAT peut protéger votre organisation, contactez l'un de nos experts en cybersécurité des infrastructures critiques.
Références
[1] "Microsoft MSHTML Remote Code Execution Vulnerability" (Vulnérabilité d'exécution de code à distance de Microsoft MSHTML). 2021. Microsoft Security Response Center. https://msrc. microsoft.com/upd...
[2] "Microsoft patches actively exploited MSHTML zero-day RCE (CVE-2021-40444)". 14 septembre 2021. Help Net Security. https://www. helpnetsecurity.co...
