Connexion
Abonnez-vous

Une faille exploitée de Windows « ressuscitait » Internet Explorer

La nuit des morts-vivants

Une faille exploitée de Windows « ressuscitait » Internet Explorer

Photo de Nick Bolton sur Unsplash

Mardi, Microsoft a corrigé une flopée de failles de sécurité. Dans le lot, deux étaient activement exploitées. L’une d’elles permettait de leurrer un utilisateur via un faux raccourci, provoquant le passage au moteur d’Internet Explorer, pourtant remisé au placard.

Le 11 juillet à 15h02

Le dernier bulletin mensuel de sécurité, publié mardi par Microsoft, était touffu. Un total de 143 failles étaient colmatées dans divers produits, dont Windows 10 et 11. Sur l’ensemble, 5 étaient critiques, 136 importantes et 4 modérées.

Parmi les failles importantes, deux sont activement exploitées. La première, CVE-2024-38080, permet une élévation de privilèges dans Hyper-V. Son score CVSS 3.1 est de 7,8/10. L’autre, CVE-2024-38112, est de type usurpation d’identité et réside dans l’ancien moteur de rendu d’Internet Explorer, MSHTML. Son score CVSS 3.1 est de 7/10.

C’est pourtant cette seconde faille qui a concentré les regards. Selon les chercheurs en sécurité de chez Check Point, le code malveillant l’exploitant remonte en effet au moins à janvier 2023. Il circulait encore en mai dernier, quand ils ont signalé la vulnérabilité à Microsoft.

Leurrer l’internaute avec un faux lien

L’idée derrière l’exploitation de la faille CVE-2024-38112 est d’attirer l’internaute dans un piège, en lui présentant ce qui semble être un document PDF. Dans un échantillon présenté par les chercheurs de Check Point, on peut voir le fichier « Books_A0UJKO.pdf », qui cache en fait un piège classique : un raccourci, le vrai nom du fichier étant « Books_A0UJKO.pdf.url ».

Dans le raccourci, on trouve un lien vers l’exécutable msedge.exe, qui ouvre le navigateur Edge. Cependant, le lien comporte deux attributs, mhtml et !x-usc :

Source : Check Point

Les chercheurs indiquent que ces attributs sont régulièrement utilisés par les pirates pour ouvrir une application spécifique. Dans le cas présent, ils forcent Edge à s’ouvrir en mode Internet Explorer et à utiliser le moteur de celui-ci, MSHTML. Or, comme l’indique Check Point, il est beaucoup plus simple d’avoir sous la main une faille 0-day pour Internet Explorer que pour Edge, basé sur Chromium.

Juste de vieilles astuces ? Pas uniquement

Leurrer un internaute vers un document qui est en fait un raccourci et ouvrir une autre application, c’est du déjà-vu, depuis longtemps. « Cependant, dans les échantillons que nous avons analysés, les acteurs malveillants n'ont pas utilisé d'exploit d'exécution de code à distance d'IE. Au lieu de cela, ils ont utilisé une autre astuce dans IE - qui n'était probablement pas connue du public, à notre connaissance – pour tromper la victime et obtenir l'exécution du code à distance », indique toutefois Check Point.

En ouvrant le raccourci, Internet Explorer affiche une première boite de dialogue, pour confirmer l’ouverture du PDF. L’ancien navigateur supprime l’extension « .url » dans sa demande, à cause du deuxième attribut placé dans le lien. Si l’on n’a pas remarqué la petite flèche sur l’icone du fichier, il y a une deuxième chance de se rendre compte de la supercherie : la taille du fichier, inférieure à 2 ko.

Si l’on confirme, une deuxième fenêtre s’ouvre. L’avertissement y est vague, Windows signalant seulement qu’un site web veut ouvrir un contenu. Il est tout de même spécifié que cette ouverture se fera en dehors du Mode Protégé (en fait une sandbox) et qu’il vaut mieux ne pas ouvrir ce contenu si on ne lui fait pas confiance. Le message peut fonctionner… pour les personnes qui lisent ce type d’avertissement.

Source : Check Point

En cas de deuxième confirmation, le code malveillant est cette fois exécuté via un fichier HTA. À partir de là, la chaine d’exploitation peut mener à l’exécution arbitraire de code à distance. Si la faille n’est pas considérée comme critique, c’est bien sûr parce qu’elle réclame une intervention de l’utilisateur.

La place étrange d’Internet Explorer

« Pour résumer les attaques du point de vue de l'exploitation : la première technique utilisée dans ces campagnes est l'astuce "mhtml", qui permet à l'attaquant d'appeler IE au lieu de Chrome/Edge, plus sûr. La deuxième technique est une astuce IE qui fait croire à la victime qu'elle ouvre un fichier PDF, alors qu'en fait, elle télécharge et exécute une application .hta dangereuse. L'objectif global de ces attaques est de faire croire aux victimes qu'elles ouvrent un fichier PDF, ce qui est rendu possible par l'utilisation de ces deux astuces », expliquent les chercheurs.

Mais Internet Explorer n’a-t-il pas pris sa retraite ? Si, officiellement le 15 juin 2022. Il reste cependant présent dans le système, y compris dans Windows 11. Son moteur de rendu est parfois utilisé dans Edge, quand on demande spécifiquement le mode Compatibilité pour afficher un très vieux site, par exemple en entreprise.

Signalons également qu’en dépit de ce départ à la retraite, le support technique d’Internet Explorer ne s’est jamais arrêté. Microsoft continue de corriger les failles trouvées. Le patch déployé mardi est d’ailleurs pour l’ancien navigateur. Le problème est plus sérieux quand la faille est de type 0-day, comme ici : le code malveillant le plus ancien retrouvé date de janvier 2023.

Les chercheurs ont confirmé que le correctif déployé permet bien de se protéger contre la vulnérabilité.

Commentaires (22)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
La rétrocompatibilité a bon dos quand même...
A quel moment ça reste judicieux d'exposer l'ensemble des utilisateurs de Win11 pour des cas d'application spécifiques qui, en 2024, ne doivent représenter qu'une infime minorité.
Je sais qu'il y a des vieux programmes en prod dans la plupart des grand groupes, mais c'est aux DSI de prévoir l'environnement de maintenance adapté, pas à MS au prix de la sécurité de tout le monde.
votre avatar
va dire ça au fabricant chinois du portier dont la page web de gestion ne fonctionne qu'en mode IE(ou encore mieux: va dire au patron d'une petite boite de changer tout le système de portiers+pad code+badges+caméra de porte+écrans+alarme juste parce qu'on ne peux le gérer que via le mode IE)
votre avatar
Cela s'est amélioré depuis environ 3 ans, mais en effet tout ce qui se configure d'une page web tournant autour de la vidéo a longtemps été dépendant d'IE: Caméras/portiers IP... J'ai encore 1 caméra Dahua qui valait du Axis niveau prise de vue/sensi nocture et possibilités de config pour 4x moins cher qui avait une configuration pas standard. Les 2 dernières achetées, par contre, n'avaientt plus ce problème (elles proposent aussi le SFTP en plus du vieillissant FTP pour envoyer les captures).
votre avatar
Ben le patron en question, y gère sont parc en restant avec win7-8-8.1 et il assume d'avoir acheté du chinois moins cher... Il demande pas à la planète entière d'accepter des piles ligicielles obsolètes pour lui faire plaisir....
votre avatar
quel rapport entre un firmware écrit en dur sur du matériel a plus de 20k€ avec main d'œuvre, et un OS qu'on peux mettre à jour à bas prix?
encore pire si c'est de la location: le patron n'a même pas son mot à dire et c'est au proprio de le changer à son bon vouloir... ce qui n'arrivera jamais.
votre avatar
Non seulement IE n'est pas mort, mais c'est toujours le moteur de Outlook (dans une version limitée, cela dit, donc avec possiblement peu de failles de sécurité possibles) qui est utilisé dans Outlook 2016 (et c'est d'ailleurs l'enfer de créer des mails riches compatibles avec ce truc).
votre avatar
hein? IE pas mort? et ca serait un moteur de recherche dans edge????
tu peux expliquer?
votre avatar
Gneuh j'ai pas écrit ce que je pensais écrire x_x le moteur d'IE est celui qui est utilisé par Outlook, y compris dans sa dernière version.
votre avatar
bienvenue en 2024: Edge utilise le moteur chromium depuis 2020, et outlook 2016 est en fin de vie depuis 2020 aussi (en support étendu jusqu'en 2025, mais à un moment, faut passer à autre chose)

Par contre, je suis d'accord pour dire que le zombie IE n'est pas mort. on paye encore aujourd'hui le "made for internet explorer" du vieux matériel pas forcément facilement remplaçable...
votre avatar
Cf. ma correction : je voulais écrire "encore utilisé par Outlook" (le client lourd), même dans sa dernière version.
votre avatar
Chez nous plantage du service LPD (gestion imprimante réseau) sur les serveurs d'impression depuis la MAJ, obliger de revenir en arrière. Et en revenant en arrière ça casse RDP...
On a du restaurer un backup. Merci Microsoft
votre avatar
Fallait pas sortir Microsoft du cadre du poste utilisateur bureautique... Pour un serveur, surtout d'impression, il y a quand même moyen d'éviter cet OS mal foutu depuis ses plus lointaines origines.
votre avatar
Dans la dernière MAJ de Windows 11, j'ai remarqué que la sélection des éléments dans l'Explorateur a changé esthétiquement. Maintenant il y a un rectangle plein foncé autour de la sélection, alors qu'auparavant c'était juste une surbrillance bleue du fond. Ouais, je ne suis pas perturbé pour grand chose :D
votre avatar
J'ai également remarqué ça. La première fois j'ai cru que le focus restait bloqué sur les éléments de la liste, un peu comme quand on commence à naviguer avec les touches du clavier.
votre avatar
Je ne sais si c'est encore le cas (j'utilise plus Windows très souvent) mais il y a encore quelques mois j'avais été surpris de me retrouver avec un message d'erreur relatif à Internet Explorer sur un Windows Server récent en utilisant la commande curl.... (que Microsoft a eu la bonne idée de réimplémenter à sa sauce et qui finalement n'a rien à voir avec l'original à part son nom).
votre avatar
En fait, curl est un alias pour Invoke-RestMethod dans Powershell, avec une syntaxe légèrement différente. Oui, c'est relou.
votre avatar
MS a juste ajouté en alias des noms unix aux cmdlets PowerShell proches. Derrière, ça reste le cmdlet PowerShell, avec les options dudit cmdlet.

Si vraiment, vous voulez faire quelque chose de plus "PowerShell", l'alias abrégé pour Invoke-RestMethod est irm

Si c'est curl de unix que vous voulez, il faudrait regarder du côté de WSL avec un truc du genre wsl -e curl.
votre avatar
En même temps, il y a une solution au besoin d'utiliser des utilitaires d'Unices dans windows et d'avoir un vrai shell utilisable (ce que powershit n'est pas): Cygwin, c'est pas nouveau et permet de rendre windows un peu plus supportable!
votre avatar
Cette "réimplémentation" (en alias Powershell, à l'arrache, en douce) a été une bonne source de rage pour le dev derrière curl, qui s'est soudainement retrouvé à devoir faire le SAV d'un produit qui n'était pas le sien. En bonus, Microsoft qui refusait de retirer l'alias parce que "bah ça risque de péter des choses pour les utilisateurs Windows maintenant qu'ils s'en servent, hein"…

https://mastodon.social/@bagder/112528856887055105
votre avatar
C'est un complot de Grosoft amha ... :dent:
votre avatar
Je sais qu'il avait été démontré comment lancer Internet Explorer sous Win11 sans connaissance spécifique, juste en ouvrant un lien d'assistance qui.... lance IE. Microsoft n'a fait que la moitié du travail, et si c'est juste pour quelques pages spécifiques pour entreprises, c'est quand même scandaleux de faire peser ce risque a tout le monde...
votre avatar
C'est du pur Microsoft. Et ça énerve bien les officiels fédéraux US.

Une faille exploitée de Windows « ressuscitait » Internet Explorer

  • Leurrer l’internaute avec un faux lien

  • Juste de vieilles astuces ? Pas uniquement

  • La place étrange d’Internet Explorer

Fermer