La coque morte d'IE continue de compliquer la vie (et la sécurité) des utilisateurs de Windows
Paume sur le visage : Internet Explorer en tant qu'application autonome a été officiellement « retiré » par Microsoft en 2022. La société de Redmond ne prend plus en charge IE sous Windows, mais le moteur de l'ancien navigateur est toujours inclus dans les versions les plus récentes de Windows 11. Et c'est un risque de sécurité que les cybercriminels aiment toujours cibler dans leurs campagnes.
Les dernières mises à jour du Patch Tuesday de Microsoft incluent un correctif pour une faille zero-day dans le moteur de navigation Internet Explorer. Identifiée sous le numéro CVE-2024-38112, cette vulnérabilité est exploitée par des criminels inconnus depuis janvier 2023 pour inciter les utilisateurs à exécuter du code malveillant sur des machines locales non protégées.
Découverte pour la première fois par des chercheurs de Check Point, la faille CVE-2024-38112 est décrite par Microsoft comme une vulnérabilité d'usurpation de la plateforme Windows MSHTML. Également connu sous le nom de Trident, MSHTML est le moteur de navigateur propriétaire utilisé par Internet Explorer. Le navigateur ne peut plus être utilisé sous Windows 11, mais le moteur susmentionné est toujours inclus dans le système d'exploitation, et Microsoft prévoit de le prendre en charge au moins jusqu'en 2029.
La vulnérabilité CVE-2024-38112 a une cote de gravité de 7,0 sur 10 et nécessite des actions supplémentaires de la part d'un attaquant pour garantir un processus d'exploitation réussi. Un acteur malveillant devrait tromper sa victime pour qu'elle télécharge et exécute un fichier malveillant, prévient Microsoft, et les utilisateurs semblent avoir été ciblés, attaqués et réellement compromis depuis plus d'un an maintenant.
Le moteur de recherche d'IE est peu sûr et obsolète, préviennent les analystes de Check Point, et les exploits zero-day conçus pour cibler CVE-2024-38112 ont utilisé des astuces astucieuses pour masquer ce qu'ils cherchaient réellement à accomplir. Les criminels ont utilisé un lien URL malveillant qui semblait ouvrir un document PDF, ce qui ouvrait ensuite le navigateur Edge (msedge.exe) en mode Internet Explorer.
Après avoir invoqué MSHTML, les criminels auraient pu exploiter certaines failles zero-day liées à IE pour obtenir immédiatement des privilèges d'exécution de code à distance. Cependant, les échantillons malveillants découverts par Check Point n'incluaient aucune faille jusqu'alors inconnue dans le moteur IE. Au lieu de cela, ils ont utilisé une autre astuce inédite pour ouvrir une boîte de dialogue et demander aux utilisateurs d'enregistrer un fichier PDF.
L'extension PDF a été utilisée pour masquer un fichier HTA malveillant, un programme exécutable qui est invoqué à partir d'un document HTML et qui s'exécute sous Windows via un outil connu sous le nom de Microsoft HTML Application Host (mshta.exe). En effet, l'objectif général des attaques CVE-2024-38112 est de faire croire aux victimes qu'elles ouvrent un fichier PDF, selon Check Point. L'entreprise a découvert et haché six fichiers .url malveillants utilisés dans la campagne, et il est conseillé aux utilisateurs de Windows d'installer les dernières mises à jour du Patch Tuesday dès que possible.