La
vulnérabilité critique peut également être exploitée via un document Microsoft
Office malveillant.
Microsoft a
livré un correctif pour une faille critique dans Internet Explorer (IE) qui est
exploitée à l’état sauvage. Suivi sous la référence CVE-2019-1429, cette
vulnérabilité fait partie du lot de mises à jour de sécurité régulières de ce
mois-ci, connu sous le nom de Patch Tuesday.
l’exécution du
code à distance qui, selon l’avertissement émis par Microsoft,
concerne la façon dont le moteur de script du navigateur gère les objets en
mémoire. La faille de sécurité affecte toutes les versions actuelles d’IE et
pourrait être exploitée par un acteur de la menace pour inciter les victimes à
visiter un site Web malveillant via le navigateur.
« Un
attaquant ayant exploité avec succès la vulnérabilité pourrait obtenir les
mêmes droits d’utilisateur que l’utilisateur actuel. Si l’utilisateur actuel
est connecté avec des droits d’administrateur, un attaquant qui a exploité avec
succès la vulnérabilité pourrait prendre le contrôle d’un système
affecté », souligne le géant technologique. A partir de là, les attaquants
pouvaient installer des programmes, falsifier des données et créer de nouveaux
comptes avec tous les droits d’utilisateur.
Il est important
de noter qu’un autre vecteur d’attaque potentiel existe. Pis encore, ce vecteur
n’exige même pas que vous utilisiez IE pour vos besoins de navigation sur le
Web. « Un attaquant pourrait également intégrer un contrôle ActiveX marqué
comme étant « safe for initialization » » dans une
application ou un document Microsoft Office qui héberge le moteur de rendu
IE », explique Microsoft.
Les détails sur
la nature des attaques exploitant la vulnérabilité, qui a été découverte
indépendamment par des chercheurs de Google, Resecurity et iDefense Labs, sont
rares. Resecurity souligne cependant
que la faille a probablement été exploitée en conjonction avec une
vulnérabilité découverte précédemment répertoriée comme CVE-2019-0880.
La société n’a pas attribué les attaques à un groupe APT en
particulier, mais a déclaré qu’elle pensait que les attaques avaient été menées
par un groupe de cyberespionnage pour cibler un éventail de victimes dans
diverses parties du monde.
Il n’y a pas de
facteurs atténuants ou de solutions de rechange connus pour les utilisateurs
qui ne peuvent pas mettre en œuvre le correctif rapidement. Certes, la faille
jour-zéro n’est qu’un autre rappel de l’importance de corriger rapidement
les failles de sécurité,
en particulier celles qui ne nécessitent que peu d’interaction de la part de
l’utilisateur.
Ce tableau réalisé
par le SANS Technology Institute, résume bien l’ensemble des correctifs de
sécurité apportés au cours du mois. On y liste des patchs pour 74 failles sur
différents produits et services, dont Microsoft Edge, Office, Exchange Server
et Windows Hyper-V. Quinze des vulnérabilités ont été classées parmi les plus
graves par Microsoft comme « critiques », les autres ayant été
classées comme « importantes ».