Microsoft a confirmé le 7 septembre 2021 qu'une vulnérabilité d'exécution de code à distance (RCE) s'était produite dans Windows 10. Cette vulnérabilité, classée CVE-2021-40444 [1], peut permettre aux cybercriminels de prendre le contrôle à distance d'un système compromis et de créer des attaques de type "zero-day" dans la nature.
Le défaut se situe au niveau de MSHTML, un moteur de rendu du navigateur Internet Explorer. Le moteurest également utilisé dans les documents Microsoft Office. La CVE-2021-40444 est actuellement connue pour être utilisée pour livrer des charges utiles Cobalt Strike, un cadre d'émulation de menaces couramment exploité.
Un chercheur d'EXPMON a identifié ce zero-day pour la première fois dans un tweet, en déclarant : "Les utilisateurs d'Office doivent être extrêmement prudents en ce qui concerne les fichiers Office". Il a signalé l'incident à Microsoft le dimanche 5 septembre. Microsoft a également publié un avis de sécurité peu de temps après, suggérant des solutions de contournement pendant que l'entreprise enquêtait. Le 14 septembre, Microsoft a corrigé la vulnérabilité [2].
Comment les attaquants exploitent CVE-2021-40444
Les cybercriminels peuvent créer un contrôle ActiveX malveillant à l'intérieur d'un document Microsoft Office (.docx). Ce document sert d'hôte au moteur de rendu du navigateur MSTHML et à un OLEObject qui dirige vers une page web construite.
L'attaquant doit alors tromper sa cible pour qu'elle ouvre ce document. À l'ouverture, le moteur MSTHML utilisera le contrôle ActiveX pour exécuter un fichier HTML avec des scripts obscurcis, suivi par le téléchargement de charges utiles de logiciels malveillants ou de commandes d'accès à distance.
Microsoft a noté que les utilisateurs disposant de droits d'administrateur sont plus susceptibles de subir de telles attaques que ceux qui n'ont pas de droits d'utilisateur ou qui en ont moins.
Atténuation et solution de contournement
Microsoft a indiqué que la désactivation de toutes les installations de contrôle ActiveX dans Internet Explorer peut contribuer à atténuer les attaques actuelles. Pour ce faire, il suffit de configurer la stratégie de groupe en mettant à jour le registre ou en utilisant l'éditeur de stratégie de groupe local.Après la désactivation, les nouveaux contrôles ActiveX ne seront pas installés et les contrôles ActiveX précédents continueront à fonctionner.
How Deep CDR™ Technology Can Protect Against Zero-Day Attacks
Content Disarm and Reconstruction (CDR) can aid in mitigating the risks associated with this vulnerability. Deep CDR™ Technology assumes all files are malicious, then sanitizes and rebuilds the file components to ensure full usability with safe content. The technology can effectively ‘disarms’ all file-based threats, complex and sandbox-aware threats, and threats equipped with malware evasion technology such as fully undetectable malware or obfuscation.
In this case, the Deep CDR™ Technology removes all potential threat objects like the OLEObject and ActiveX from the document file. After sanitization, the document no longer contains the malicious HTML link.
Les menaces détectées par MetaDefender Cloud ont été analysées et les résultats permettent d'effectuer des actions de nettoyage :
Après l'assainissement, les résultats montrent que l'OLEObject a été supprimé et que le fichier peut être ouvert en toute sécurité :
About Deep CDR™ Technology
Deep CDR™ Technology is a market leader with superior features like multi-level archive processing, the accuracy of file regeneration, and support for 100+ file types. Our technology provides in-depth views of what is being sanitized and how data are sanitized, allowing you to make informed choices and define configurations to meet your use cases. The result? Safe files with 100% of threats eliminated within milliseconds, so your workflow is not interrupted.
To learn more about Deep CDR™ Technology and how OPSWAT can protect your organization, talk to one of our critical infrastructure cybersecurity experts.
Références
[1] "Microsoft MSHTML Remote Code Execution Vulnerability" (Vulnérabilité d'exécution de code à distance de Microsoft MSHTML). 2021. Microsoft Security Response Center. https://msrc. microsoft.com/upd...
[2] "Microsoft patches actively exploited MSHTML zero-day RCE (CVE-2021-40444)". 14 septembre 2021. Help Net Security. https://www. helpnetsecurity.co...
