Microsoft a découvert une faille de sécurité au sein de Windows. Répertoriée sous le code CVE-2024-38112, la vulnérabilité permet à un attaquant de déployer des scripts malveillants sur un ordinateur en outrepassant tous les mécanismes de sécurité du système d’exploitation. Check Point Research est à l’origine de la découverte.
À lire aussi : Microsoft admet que la dernière cyberattaque russe est encore pire que prévu
Une faille oblige Windows à ouvrir Internet Explorer
Concrètement, l’attaque repose sur des fichiers de raccourci Internet Windows, des fichiers utilisés par le système d’exploitation Windows pour créer des raccourcis vers des adresses web. Ces fichiers se font passer pour des documents quelconques, comme des PDF. Lorsque l’utilisateur clique dessus, le fichier trompeur va ouvrir l’URL dans le navigateur Web.
En exploitant la faille, l’instigateur de l’attaque peut obliger le fichier à ouvrir Internet Explorer plutôt qu’un autre navigateur web, comme Chrome, Brave ou Firefox. Le navigateur, considéré comme obsolète, dispose de moins de mesures de sécurité pour empêcher le téléchargement d’un malware. Le site va alors télécharger et ouvrir un fichier HTA (HTML Application), c’est-à-dire un fichier exécutable utilisé pour lancer des applications HTML.
Quand Internet Explorer télécharge un fichier HTA, il affiche deux options à l’écran : enregistrer ou ouvrir le fichier. Si l’utilisateur choisit de l’ouvrir, le fichier se lancera. Un avertissement indiquera néanmoins que le navigateur est en train d’ouvrir un contenu en provenance d’un site web. L’internaute, persuadé d’ouvrir un simple PDF inoffensif, va accepter de lancer le fichier HTA. C’est ce fichier, déguisé en PDF, qui va aboutir à l’exécution de code malveillant. Les pirates utilisent « une astuce d’IE pour faire croire à la victime qu’elle ouvre un fichier PDF, alors qu’en fait, elle télécharge et exécute une application .hta dangereuse ».
En fait, l’offensive repose sur le fait qu’Internet Explorer est toujours présent par défaut dans le code de Windows 10 et Windows 11. Pour mémoire, le navigateur a été progressivement remplacé par Microsot Edge, mais il s’avère qu’il est possible de l’invoquer en exploitant la faille. Comme l’explique Check Point, Internet Explorer est « un navigateur Web obsolète », qui est bien connu pour sa sécurité défaillante. Par défaut, les utilisateurs ne sont donc pas en mesure d’ouvrir un lien avec celui-ci. Contacté par les chercheurs, Microsoft précise que « techniquement parlant, IE fait toujours partie du système d’exploitation Windows », même si celui-ci a été désactivé et mis à la retraite.
Une faille exploitée depuis plus de 18 mois
De l’aveu de Microsoft, la brèche a été activement exploitée par des cybercriminels depuis plus de 18 mois. Comme l’a montré Check Point Research, les premières traces de l’exploitation de la brèche remontent à janvier 2023. Selon les chercheurs, la vulnérabilité a notamment été utilisée pour propager Atlantida Stealer, un malware taillé pour orchestrer des vols de données. Il est conçu pour dérober toutes les informations d’identification stockées dans le navigateur, les cookies, l’historique, les clés des portefeuilles crypto ou les identifiants Steam.
Pour protéger ses utilisateurs, Microsoft a corrigé la faille. L’éditeur américain a en effet inclus un correctif dans le patch Tuesday de juillet 2024. La mise à jour corrige un total de 142 failles, dont 4 brèches considérées comme zero day, c’est-à-dire inconnues des développeurs, mais exploitées par des hackers. On vous recommande évidemment d’installer le correctif sans tarder
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Check Point