Microsoft a récemment publié une mise à jour de sécurité visant à corriger un ensemble de vulnérabilités critiques, parmi lesquelles deux étaient activement exploitées. L’une de ces failles a ravivé l’intérêt pour Internet Explorer, le navigateur autrefois délaissé.
Le dernier bulletin mensuel de sécurité de Microsoft, dévoilé cette semaine, était dense, couvrant un total de 143 vulnérabilités touchant divers produits tels que Windows 10 et 11. Parmi celles-ci, cinq étaient jugées critiques, 136 importantes et quatre modérées.
Notamment, deux vulnérabilités importantes étaient exploitées activement. La première, CVE-2024-38080, permettait une élévation de privilèges dans Hyper-V avec un score CVSS 3.1 de 7,8/10. La seconde, CVE-2024-38112, impliquait une usurpation d’identité exploitant l’ancien moteur de rendu d’Internet Explorer, MSHTML, avec un score CVSS 3.1 de 7/10.
C’est cette dernière vulnérabilité qui a attiré l’attention. Selon les experts en sécurité de Check Point, le code malveillant exploitant cette faille était actif depuis au moins janvier 2023, restant détecté jusqu’en mai dernier, date à laquelle ils ont signalé la vulnérabilité à Microsoft.
Mécanisme d’exploitation de la faille
La faille CVE-2024-38112 exploite la confiance des utilisateurs en présentant un faux raccourci qui semble être un document PDF. Par exemple, un fichier nommé “Books_A0UJKO.pdf” pourrait masquer un piège sous la forme d’un raccourci nommé “Books_A0UJKO.pdf.url”.
Dans ce raccourci, un lien est configuré vers l’exécutable msedge.exe, ouvrant initialement le navigateur Edge. Cependant, avec l’utilisation des attributs mhtml et !x-usc, le navigateur est forcé de passer en mode Internet Explorer, utilisant ainsi le moteur MSHTML. Cette stratégie est exploitée car il est souvent plus simple de trouver des failles de sécurité dans Internet Explorer que dans Edge, basé sur Chromium.
Impact et contre-mesures
Bien que trompeuse, cette méthode nécessite une interaction active de l’utilisateur pour s’exécuter complètement. Microsoft a rapidement déployé un correctif pour sécuriser cette faille. Malgré la retraite officielle d’Internet Explorer en juin 2022, le navigateur reste présent dans le système, notamment dans Windows 11 où son moteur de rendu peut encore être sollicité pour des besoins spécifiques de compatibilité.
Bien que des mesures aient été prises pour sécuriser cette faille, elle rappelle que même les logiciels anciens comme Internet Explorer nécessitent une vigilance constante et des mises à jour régulières pour prévenir les risques de sécurité.