Vulnérabilité de type zero day dans Internet Explorer

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Gestion du document

Origine: bjCSIRT

Numéro: 2020/ALERTE/003

Date de l’alerte: 20/01/2020

TLP: White

 

Aperçu de la menace

Microsoft alerte les utilisateurs sur la découverte d’une faille zero-day dans son navigateur Internet Explorer (IE) qui permet à un attaquant de prendre le contrôle total de Windows.

Ce bug porte la référence : CVE-2020-0674.

 

Description

La vulnérabilité se situe au niveau de la manière dont le moteur de script du navigateur gère les objets en mémoire. Lorsqu’un code malveillant est exécuté à distance dans Internet Explorer, cela aurait pour effet de corrompre la mémoire de telle manière qu’un attaquant pourrait exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Et si un attaquant parvenait à exploiter cette vulnérabilité, il « pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur en cours. Si l’utilisateur en cours est connecté avec des droits d’administrateur, un attaquant, le tiers malveillant pourrait prendre le contrôle du système affecté. Ainsi, il pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou même créer de nouveaux comptes avec des droits d’utilisateur complets ».

Pour mener son attaque à distance, l’attaquant pourrait par exemple héberger un site Web intégrant du code spécialement conçu pour exploiter la faille découverte dans IE, puis convaincre un utilisateur d’afficher un document HTML, ou simplement le persuader d’afficher un fichier PDF, un document Microsoft Office ou tout autre document prenant en charge le contenu du moteur de script Internet Explorer intégré.

Microsoft précise également qu’il est conscient du nombre limité d’attaques ciblées menées contre les utilisateurs en exploitant cette faille.

 

Impact

Avec CVE-2020-0609 et CVE-2020-0610, les attaquants peuvent exécuter du code arbitraire sur les services RDP ouverts, permettant un accès complet au serveur RDP.

Avec CVE-2020-0611, les attaquants peuvent exécuter du code arbitraire sur le client RDP lorsqu’il se connecte à au serveur RDP malveillant.

 

Mesures à prendre

Aucun correctif officiel n’est encore disponible.

Microsoft propose plutôt une solution de contournement pour tous ceux qui souhaitent se mettre à l’abri de cette faille en attendant la publication du correctif : la solution consiste à bloquer l’accès à la bibliothèque jscript.dll qui est une bibliothèque qui fournit sur Windows une compatibilité pour exécuter les scripts sur certains sites Web.

Sur les systèmes 32 bit :

Code bat :

takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N

 

Sur les systèmes 64 bit :

Code bat :

takeown /f %windir%\syswow64\jscript.dll 
cacls %windir%\syswow64\jscript.dll /E /P everyone:N 
takeown /f %windir%\system32\jscript.dll cacls %windir%\system32\jscript.dll /E /P everyone:N

 

Versions affectées

IE versions 9, 10 et 11 du navigateur pour les versions 7, 8.x, 10, de Windows ainsi que Windows Server 2008, 2012, 2016 et 2019.

 

Lien Utiles

https://fr.tenable.com/blog/cve-2020-0674-internet-explorer-remote-code-execution-vulnerability-exploited-in-the-wild

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200001

 

Partagez sur vos réseaux.