Symbole de fenêtres sur rouge

Microsoft a corrigé une vulnérabilité zero-day de Windows qui était activement exploitée dans des attaques depuis dix-huit mois pour lancer des scripts malveillants tout en contournant les fonctionnalités de sécurité intégrées.

La faille, suivie comme CVE-2024-38112est un problème d'usurpation d'identité MHTML de haute gravité corrigé lors des mises à jour de sécurité du Patch Tuesday de juillet 2024.

Haifei Li de Check Point Research a découvert la vulnérabilité et l'a divulguée à Microsoft en mai 2024.

Cependant, dans un rapport de Lile chercheur note qu'ils ont découvert des échantillons exploitant cette faille dès janvier 2023.

Publicité

Internet Explorer a disparu, mais pas vraiment

Haifei Li a découvert que des acteurs malveillants distribuaient des fichiers de raccourcis Internet Windows (.url) pour usurper des fichiers d'apparence légitime, tels que des PDF, mais qui téléchargeaient et lançaient des fichiers HTA pour installer des logiciels malveillants de vol de mot de passe.

Un fichier de raccourci Internet est simplement un fichier texte qui contient divers paramètres de configuration, tels que l'icône à afficher, le lien à ouvrir en cas de double-clic, et d'autres informations. Une fois enregistré sous forme de fichier .url et double-cliqué, Windows ouvre l'URL configurée dans le navigateur Web par défaut.

Cependant, les acteurs de la menace ont découvert qu'ils pouvaient forcer Internet Explorer à ouvrir l'URL spécifiée en utilisant le mhtml: Gestionnaire d'URI dans la directive URL, comme indiqué ci-dessous.

Contenu du fichier URL
Contenu du fichier URL Source : Check Point

MHTML est un fichier « Encapsulation MIME de documents HTML agrégés », une technologie introduite dans Internet Explorer qui encapsule une page Web entière, y compris ses images, dans une seule archive.

Lorsque l'URL est lancée avec le mhtml: URI, Windows le lance automatiquement dans Internet Explorer au lieu du navigateur par défaut.

Selon le chercheur en vulnérabilité Will Dormann, l'ouverture d'une page Web dans Internet Explorer offre des avantages supplémentaires aux acteurs de la menace, car il y a moins d'avertissements de sécurité lors du téléchargement de fichiers malveillants.

« Tout d'abord, IE vous permettra de télécharger un fichier .HTA depuis Internet sans avertissement », a expliqué Dormann sur Mastodon.

« Ensuite, une fois téléchargé, le fichier .HTA sera stocké dans le répertoire INetCache, mais il n'aura PAS explicitement de MotW. À ce stade, la seule protection dont dispose l'utilisateur est un avertissement indiquant qu'un « site Web » souhaite ouvrir le contenu Web à l'aide d'un programme sur l'ordinateur. »

« Sans préciser de quel site il s'agit. Si l'utilisateur pense qu'il fait confiance à « ce » site Web, c'est à ce moment-là que l'exécution du code se produit. »

Essentiellement, les acteurs de la menace profitent du fait qu’Internet Explorer est toujours inclus par défaut sur Windows 10 et Windows 11.

Malgré Microsoft annonçant sa retraite il y a environ deux ans et Edge l'a remplacé sur toutes les fonctions pratiques, le navigateur obsolète peut toujours être invoqué et exploité à des fins malveillantes.

Check Point affirme que les acteurs malveillants créent des fichiers de raccourcis Internet avec des index d'icônes pour les faire apparaître comme des liens vers un fichier PDF.

Lorsque vous cliquez dessus, la page Web spécifiée s'ouvre dans Internet Explorer, qui tente automatiquement de télécharger ce qui semble être un fichier PDF mais qui est en fait un fichier HTA.

Internet Explorer télécharge un fichier HTA usurpé en tant que PDF
Internet Explorer télécharge un fichier HTA usurpé en tant que PDF Source : Check Point

Cependant, les acteurs malveillants peuvent masquer l'extension HTA et faire apparaître comme si un PDF était en cours de téléchargement en complétant le nom de fichier avec des caractères Unicode afin que l'extension .hta ne s'affiche pas, comme indiqué ci-dessous.

Fichier HTA utilisant un remplissage de caractères Unicode pour masquer l'extension .hta
Fichier HTA utilisant un remplissage de caractères Unicode pour masquer l'extension .hta Source : BleepingComputer

Lorsque Internet Explorer télécharge le fichier HTA, il vous demande si vous souhaitez l'enregistrer ou l'ouvrir. Si un utilisateur décide d'ouvrir le fichier en pensant qu'il s'agit d'un PDF, car il ne contient pas la marque du Web, il se lancera avec seulement une alerte générique concernant l'ouverture du contenu à partir d'un site Web.

Avertissement de Windows lorsque Internet Explorer lance le fichier HTA
Avertissement de Windows lorsque Internet Explorer lance le fichier HTA Source : BleepingComputer

Comme la cible s'attend à télécharger un PDF, l'utilisateur peut faire confiance à cette alerte et le fichier est autorisé à s'exécuter.

Check Point Research a déclaré à BleepingComputer que l'autorisation d'exécution du fichier HTA installerait le Logiciel malveillant Atlantida Stealer logiciel malveillant de vol de mot de passe sur l'ordinateur.

Une fois exécuté, le logiciel malveillant volera toutes les informations d'identification stockées dans le navigateur, les cookies, l'historique du navigateur, les portefeuilles de crypto-monnaie, les informations d'identification Steam et d'autres données sensibles.

Microsoft a corrigé la vulnérabilité CVE-2024-38112 en annulant l'enregistrement du mhtml: URI d'Internet Explorer, il s'ouvre donc désormais dans Microsoft Edge.

CVE-2024-38112 est similaire à CVE-2021-40444, une vulnérabilité zero-day qui a abusé du MHTML que les pirates nord-coréens ont exploité pour lancer des attaques ciblant les chercheurs en sécurité en 2021.

5/5 - (498 votes)
Publicité
Article précédentSamsung lance le Galaxy Ring à Unpacked 2024 : voici notre premier test
Article suivantPlongez dans l'univers nautique avec la nouvelle mise à jour Ocean Odyssey de PUBG Mobile
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici