Les acteurs de la menace ont exploité la faille 0-day de Windows pendant plus d’un an avant que Microsoft ne la corrige

0

Getty Images

Les acteurs de la menace ont mené des attaques zero-day ciblant les utilisateurs de Windows avec des logiciels malveillants pendant plus d’un an avant que Microsoft ne corrige la vulnérabilité qui les a rendues possibles, ont déclaré mardi des chercheurs.

La vulnérabilité, présente à la fois dans Windows 10 et 11, force les appareils à ouvrir Internet Explorer, un navigateur obsolète que Microsoft a mis hors service en 2022 après que sa base de code vieillissante l’a rendu de plus en plus vulnérable aux exploits. Après cette décision, Windows a rendu difficile, voire impossible, les actions normales d’ouverture du navigateur, qui a été introduit pour la première fois au milieu des années 1990.

Astuces anciennes et nouvelles

Selon les chercheurs qui ont découvert la vulnérabilité et l’ont signalée à Microsoft, le code malveillant qui exploite cette vulnérabilité remonte au moins à janvier 2023 et circulait encore en mai de cette année. L’entreprise a corrigé la vulnérabilité, identifiée comme CVE-2024-CVE-38112, mardi dans le cadre de son programme mensuel de publication de correctifs. La vulnérabilité, qui résidait dans le moteur MSHTML de Windows, avait une cote de gravité de 7,0 sur 10.

Les chercheurs de l’entreprise de sécurité Check Point ont déclaré que le code d’attaque exécutait « des astuces inédites (ou jusqu’alors inconnues) pour inciter les utilisateurs de Windows à exécuter du code à distance ». Un lien qui semblait ouvrir un fichier PDF comportait une extension .url à la fin du fichier, par exemple Books_A0UJKO.pdf.url, trouvée dans l’un des échantillons de code malveillant.

Lorsqu’il était visualisé sous Windows, le fichier affichait une icône indiquant qu’il s’agissait d’un fichier PDF plutôt que d’un fichier .url. Ces fichiers sont conçus pour ouvrir une application spécifiée dans un lien.

Capture d'écran montrant un fichier nommé Books_A0UJKO.pdf. L'icône du fichier indique qu'il s'agit d'un PDF.
Agrandir / Capture d’écran montrant un fichier nommé Books_A0UJKO.pdf. L’icône du fichier indique qu’il s’agit d’un PDF.

Point de contrôle

Un lien dans le fichier appelait msedge.exe, un fichier qui exécute Edge. Le lien comportait cependant deux attributs (mhtml: et !x-usc:), une « vieille astuce » que les pirates utilisent depuis des années pour forcer Windows à ouvrir des applications telles que MS Word. Il incluait également un lien vers un site Web malveillant. Lorsque l’on cliquait sur le fichier .url déguisé en PDF, le site s’ouvrait, non pas dans Edge, mais dans Internet Explorer.

« À partir de là (le site Web étant ouvert avec IE), l’attaquant pourrait faire beaucoup de mauvaises choses car IE n’est pas sécurisé et obsolète », a écrit Haifei Li, le chercheur de Check Point qui a découvert la vulnérabilité. « Par exemple, si l’attaquant dispose d’un exploit zero-day IE (qui est beaucoup plus facile à trouver que Chrome/Edge), il pourrait attaquer la victime pour obtenir immédiatement l’exécution de code à distance. Cependant, dans les échantillons que nous avons analysés, les acteurs de la menace n’ont utilisé aucun exploit d’exécution de code à distance IE. Au lieu de cela, ils ont utilisé une autre astuce dans IE (qui n’était probablement pas connue publiquement auparavant – à notre connaissance) pour tromper la victime et obtenir l’exécution de code à distance. »

IE présentait alors à l’utilisateur une boîte de dialogue lui demandant s’il souhaitait ouvrir le fichier se faisant passer pour un PDF. Si l’utilisateur cliquait sur « Ouvrir », Windows présentait une deuxième boîte de dialogue affichant un message vague indiquant que l’opération ouvrirait le contenu sur l’appareil Windows. Si l’utilisateur cliquait sur « Autoriser », IE chargeait un fichier se terminant par .hta, une extension qui obligeait Windows à ouvrir le fichier dans Internet Explorer et à exécuter le code intégré.

Capture d'écran montrant la fenêtre IE ouverte et la boîte de dialogue générée par IE demandant d'ouvrir le fichier Books_A0UJKO.pdf.
Agrandir / Capture d’écran montrant la fenêtre IE ouverte et la boîte de dialogue générée par IE demandant d’ouvrir le fichier Books_A0UJKO.pdf.

Point de contrôle

Capture d'écran de la boîte de dialogue de sécurité IE demandant si l'utilisateur souhaite
Agrandir / Capture d’écran de la boîte de dialogue de sécurité IE demandant si l’utilisateur souhaite « ouvrir le contenu Web » à l’aide d’IE.

Point de contrôle

« Pour résumer les attaques du point de vue de l’exploitation : la première technique utilisée dans ces campagnes est l’astuce « mhtml », qui permet à l’attaquant d’appeler IE au lieu de Chrome/Edge, plus sécurisé », a écrit Li. « La deuxième technique est une astuce IE pour faire croire à la victime qu’elle ouvre un fichier PDF, alors qu’en fait, elle télécharge et exécute une application .hta dangereuse. L’objectif général de ces attaques est de faire croire aux victimes qu’elles ouvrent un fichier PDF, et cela est rendu possible grâce à ces deux astuces. »

Le message de Check Point contient les hachages cryptographiques de six fichiers .url malveillants utilisés dans la campagne. Les utilisateurs Windows peuvent utiliser ces hachages pour vérifier s’ils ont été ciblés.

Source-147