Une vulnérabilité d’Internet Explorer menace les utilisateurs de Microsoft Office

Microsoft a signalé une vulnérabilité zero-day, connue sous le nom de CVE-2021-40444, dont l’exploitation permet d’exécuter un code malveillant à distance sur l’ordinateur de la victime. Pire encore ! Les cybercriminels se servent déjà de cette vulnérabilité pour s’en prendre aux utilisateurs de Microsoft Office. Par conséquent, Microsoft conseille aux administrateurs réseaux de Windows de déployer une solution temporaire jusqu’à ce que l’entreprise publie le correctif.

Plus de détails sur CVE-2021-40444

La vulnérabilité se trouve dans MSHTML, le moteur d’Internet Explorer. Même si peu de personnes utilisent Internet Explorer de nos jours (et que Microsoft recommande fortement de se servir de son nouveau navigateur Edge), l’ancien navigateur est encore un composant des systèmes d’exploitation modernes et certains programmes se servent de son moteur pour gérer le contenu Web. Certaines applications Microsoft Office, comme Word ou PowerPoint, en dépendent beaucoup.

Comment les cybercriminels exploitent-ils la vulnérabilité CVE-2021-40444

Les attaques se présentent sous la forme d’un contrôle intégré ActiveX malveillant dans les documents Microsoft Office. Le contrôle permet l’exécution du code arbitraire et les documents sont très certainement reçus par e-mail en pièces jointes. Comme toujours dans ce genre de situation, les cybercriminels doivent convaincre la victime d’ouvrir le fichier.

En théorie, Microsoft Office ouvre les documents provenant d’Internet en Mode protégé (lecture seule) ou via Application Guard pour Office. Les deux solutions peuvent empêcher une attaque CVE-2021-40444. En revanche, l’utilisateur peut cliquer sur le bouton Activer la modification et désactiver les mécanismes de sécurité de Microsoft sans avoir vraiment pensé aux conséquences.

Notification du Mode Protégé de Microsoft Word

Comment protéger votre entreprise de la vulnérabilité CVE-2021-40444

Microsoft a promis d’effectuer des recherches et de publier officiellement un patch si besoin. Cela étant dit, ce correctif ne devrait pas être disponible avant le 14 septembre, lors du Patch Tuesday. Dans des circonstances normales, l’entreprise ne communiquerait pas une vulnérabilité avant de l’avoir corrigée, mais comme les cybercriminels exploitent déjà CVE-2021-40444, Microsoft recommande d’utiliser immédiatement une solution temporaire.

Il s’agit d’interdire l’installation de tout nouveau contrôle ActiveX, ce que vous pouvez faire en ajoutant quelques clés au registre du système. Microsoft explique en détail cette vulnérabilité et propose même une solution dans la section Workarounds (et comment y mettre un terme une fois que le bug aura été corrigé). Selon Microsoft, cette astuce ne devrait pas affecter la performance des contrôles ActiveX déjà installés.

Quant à nous, nous vous conseillons :

• D’installer une solution de sécurité au niveau de la passerelle de votre messagerie professionnelle ou de renforcer les mécanismes de sécurité standards de Microsoft Office 365 pour protéger votre boîte de réception contre les attaques ;
• D’équiper tous les ordinateurs de vos employés de solutions de sécurité capables de détecter l’exploitation d’une vulnérabilité ;
• De former régulièrement vos employés pour qu’ils connaissent les cybermenaces modernes et de leur rappeler de ne pas ouvrir les documents envoyés par un expéditeur inconnu, et encore moins d’activer la modification, sauf si cela est absolument nécessaire.