Publié par : Papy40 | 21/01/2020

Microsoft met en garde contre une faille 0day dans Internet Explorer

 

Source : ZDNet

Sécurité : Cette vulnérabilité 0day dans Internet Explorer serait liée à celle découverte dans Firefox dans le courant de la semaine dernière. Pour l’instant, aucun correctif n’est disponible.

 

Microsoft met en garde contre une faille 0day dans Internet Explorer

Microsoft a publié aujourd’hui un avis de sécurité au sujet d’une vulnérabilité d’Internet Explorer (IE) actuellement exploitée par des attaquants. Celle-ci serait une faille 0day.

L’avis de sécurité de la société (ADV200001) ne comprend actuellement que des solutions de contournement qui peuvent être appliquées afin de protéger les systèmes vulnérables contre les attaques.

Au moment de la rédaction, il n’y a pas de correctif pour cette faille. Microsoft a déclaré qu’il travaillait sur un correctif, qui devrait être publié à une date ultérieure.

Microsoft a déclaré qu’il savait que cette vulnérabilité IE était exploitée par des attaquants, mais la société décrit ces tentatives comme des "attaques ciblées limitées". Cela suggère que la faille 0day n’est pas largement exploitée, mais plutôt qu’elle fait partie d’attaques visant à un petit nombre d’utilisateurs.

On pense que ces attaques font partie d’une campagne de piratage plus vaste, qui implique également des attaques contre les utilisateurs de Firefox.

Un lien avec la vulnérabilité Firefox

La semaine dernière, Mozilla a corrigé une faille 0day similaire qui était exploitée pour attaquer les utilisateurs de Firefox. Mozilla a crédité Qihoo 360 pour avoir découvert et signalé cette faille à Firefox.

Dans un tweet désormais supprimé, la firme chinoise de cybersécurité a déclaré que les attaquants exploitaient également une faille 0day sur Internet Explorer. Cela semble être la faille que les chercheurs de Qihoo 360 ont mentionnée à l’époque.

Aucune information n’a été partagée sur l’attaquant ou la nature des attaques. Qihoo 360 n’a pas répondu à nos demandes pour obtenir plus d’informations sur les attaques.

RCE dans IE

Au niveau technique, Microsoft a décrit cette faille IE comme une faille d’exécution de code à distance (RCE) causée par un bug de corruption de mémoire dans le moteur de script d’IE – le composant de navigateur qui gère le code JavaScript.

Voici la description technique de Microsoft de cette faille :

"Il existe une vulnérabilité d’exécution de code à distance dans la façon dont le moteur de script gère les objets en mémoire dans Internet Explorer. Cette vulnérabilité pourrait corrompre la mémoire de telle manière qu’un attaquant pourrait exécuter du code dans le contexte de l’utilisateur actuel. Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. Si l’utilisateur actuel est connecté avec des droits d’administrateur, un attaquant qui parviendrait à exploiter la vulnérabilité pourrait prendre le contrôle d’un système affecté. Un attaquant pourrait alors installer des programmes; afficher, modifier ou supprimer des données; ou créer de nouveaux comptes avec des droits d’utilisateur complets.

Dans un scénario d’attaque basé sur le Web, un attaquant pourrait héberger un site Web spécialement conçu pour exploiter la vulnérabilité via Internet Explorer, puis convaincre un utilisateur de consulter le site Web, par exemple, en envoyant un e-mail."

Toutes les versions de Windows et versions serveur supportées sont affectées, a déclaré Microsoft.

Cette faille 0day IE RCE est également identifiée CVE-2020-0674. Microsoft a corrigé deux failles 0day IE similaires en septembre et novembre 2019. Bien qu’IE ne soit plus le navigateur par défaut dans les dernières versions du système d’exploitation Windows, le navigateur est toujours installé avec le système d’exploitation. Les utilisateurs des anciennes versions de Windows sont ceux qui sont les plus exposés.


Catégories