Une solution de fortune : Microsoft corrige à nouveau Internet Explorer

Les correctifs effectués par Microsoft en juillet sont assez surprenants. Tout d’abord, parce qu’ils semblent corriger un programme théoriquement mort, Internet Explorer. Ensuite, parce que pas moins de six des vulnérabilités sont activement exploitées par les cybercriminels. Enfin, deux de ces six vulnérabilités n’ont pas été résolues via un correctif mais à partir de conseils.

Au total, 132 failles ont été corrigées, dont neuf critiques. Les vulnérabilités peuvent être exploitées de diverses façons : 37 permettent l’exécution d’un code arbitraire, 33 sont liées à l’élévation de privilèges, 13 contournent des fonctions de sécurité et 22 pourraient provoquer un déni de service.

Pourquoi corriger Internet Explorer ?

Nous avons récemment publié un article pour vous annoncer qu’Internet Explorer avait rendu l’âme, ou presque. Nous avons notamment parlé du fait que Microsoft conseille d’installer encore les mises à jour de sécurité liées à Internet Explorer puisque la plupart des composants se trouvent encore dans le système. Aujourd’hui, nous comprenons mieux pourquoi l’entreprise disait ça. Le patch de juillet corrige trois vulnérabilités qui se trouvent dans MSHTML, le moteur qui se trouve dans le légendaire navigateur. Les descriptions de la CVE de Microsoft indiquent ce qui suit :

Alors que Microsoft a annoncé le retrait de l’application Internet Explorer 11 sur certaines plateformes et l’obsolescence de l’application Microsoft Edge Legacy, les plateformes MSHTML, EdgeHTML et de script sous-jacentes sont encore supportées. Le mode Internet Explorer utilise la plateforme MSHTML dans Microsoft Edge et dans d’autres applications via le contrôle WebBrowser. WebView et d’autres applications UWP utilisent la plateforme EdgeHTML. MSHTML, EdgeHTML et d’autres applications existantes utilisent les plateformes de script. Les mises à jour qui corrigent les vulnérabilités qui se trouvent dans la plateforme MSHTML et dans le moteur du script sont inclues dans les mises à jour de sécurité cumulatives pour les systèmes Internet Explorer. Les changements relatifs à EdgeHTML et Chakra ne s’appliquent pas à ces plateformes.

Pour être pleinement protégés, nous conseillons aux utilisateurs qui n’installent que les mises à jour de sécurité d’installer aussi les mises à jour de sécurité cumulatives.

Parmi les vulnérabilités récemment découvertes dans Internet Explorer, la faille CVE-2023-32046 est la plus dangereuse, notamment parce qu’elle est utilisée pour lancer de réelles attaques. Si les cybercriminels exploitent bien cette faille, ils peuvent élever les privilèges et avoir les mêmes que la victime. Les scénarios d’attaque impliquent la création d’un fichier malveillant qui est envoyé par e-mail à la victime ou qui est hébergé sur un site compromis. Ensuite, les cybercriminels n’ont qu’à convaincre la victime de cliquer sur le lien et d’ouvrir le fichier.

Les deux autres vulnérabilités, CVE-2023-35308 et CVE-2023-35336, peuvent être utilisées pour contourner des fonctions de sécurité. Grâce à la première, le cybercriminel peut créer un fichier qui contourne le mécanisme Mark-of-the-Web pour que le fichier puisse être ouvert par les applications Microsoft Office sans utiliser le mode protégé. Les deux failles peuvent être exploitées pour leurrer la victime et la convaincre d’accéder à l’URL d’une zone de sécurité Internet moins restrictive que prévue.

Des conseils au lieu d’un correctif

Les deux vulnérabilités sont activement exploitées mais, au lieu de correctifs complets, les utilisateurs n’ont reçu que quelques conseils de sécurité.

La première, CVE-2023-36884 (avec un score CVSS de 8,3) est exploitée lors des attaques Storm-0978/RomCom qui ciblent Office et Windows. Pour vous protéger, Microsoft conseille d’ajouter tous les fichiers Office exécutables à la liste FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION.

Le second problème non-résolu est lié à la signature des pilotes au niveau du noyau. Cette vulnérabilité n’a pas de score CVE et ne possède qu’un guide avec des conseils (ADV-23001). Même si Microsoft a révoqué tout un ensemble de certificats de développeurs utilisés lors d’attaques APT et a bloqué plusieurs pilotes malveillants, l’origine du problème persiste. Les cybercriminels arrivent à signer les pilotes avec des certificats Microsoft, ou à les signer à une date antérieure pour qu’ils fonctionnent comme une exception et n’aient pas besoin de la signature du développeur du portail de MS.

Comme contre-mesure, Microsoft conseille d’avoir Windows et EDR à jour. La seule consolation est que le cybercriminel doit avoir des privilèges d’administrateur pour pouvoir exploiter les pilotes.

Les autres vulnérabilités exploitées

En plus des vulnérabilités mentionnées ci-dessus, nous trouvons trois autres failles de sécurité exploitées par les cybercriminels.

• CVE-2023-32049 — Vulnérabilité de contournement de la fonctionnalité de sécurité dans Windows SmartScreen. En l’exploitant, les cybercriminels peuvent créer un fichier qui s’ouvre sans afficher le message d’alerte Windows indiquant qu’il a été téléchargé depuis Internet.
• CVE-2023-36874 — Vulnérabilité d’élévation de privilèges dans le service de rapport d’erreurs Windows. Elle permet aux cybercriminels d’élever les privilèges s’ils ont déjà des autorisations normales afin de créer des dossiers et des rapports sur les performances techniques.
• CVE-2023-35311 — Vulnérabilité de contournement de la fonctionnalité de sécurité dans Microsoft Outlook. Les cybercriminels peuvent l’exploiter pour éviter l’affichage des avertissements lors de la prévisualisation.

Comment vous protéger

Afin de garantir la sécurité des ressources de votre entreprise, nous vous conseillons d’installer dès que possible les correctifs de sécurité et de protéger tous les ordinateurs et les serveurs de votre entreprise en installant des solutions modernes capables de détecter l’exploitation de vulnérabilités connues et inconnues.