Google a comblé les lacunes d’une curieuse faille zero-day corrigée par Microsoft dans son Patch Tuesday de novembre.
La vulnérabilité d’exécution de code à distance, connue sous le nom de CVE-2022-41128, concernait l’un des langages de script JavaScript de Windows, JScript9, le moteur JavaScript utilisé dans Internet Explorer 11 (IE11). La faille de sécurité affecte les versions de Windows de 7 à 11 ainsi que Windows Server de 2008 à 2022.
Internet Explorer n’est plus supporté par Microsoft depuis le 15 juin dernier. Depuis cette date, le géant du logiciel encourage ses clients à utiliser Edge et le mode IE à la place du navigateur obsolète. Malgré tout, Google a constaté que les failles de sécurité liées à IE continuaient d’être exploitées dans les documents Office. En effet, le moteur IE reste intégré à la suite bureautique.
Qui exploite cette faille de sécurité ?
Selon Clément Lecigne (qui a signalé la faille à Microsoft) et Benoit Sevens, du Google TAG (Threat Analysis Group), l’exploit a été développé par des pirates nord-coréens, APT37.
Le TAG explique que les attaquants ont choisi de diffuser l’exploit par un document Office, car la suite bureautique rend le contenu HTML à l’aide d’IE. Depuis 2017, les exploits utilisant IE sont généralement diffusés via Office pour cette même raison : même si vous avez défini Chrome comme navigateur par défaut, Office utilisera toujours par défaut Internet Explorer lorsqu’il rencontre du contenu HTML ou web.
« Livrer des exploits IE via ce vecteur présente l’avantage de ne pas exiger de la cible qu’elle utilise Internet Explorer comme navigateur par défaut, ni d’enchaîner l’exploit avec un échappement de sandbox EPM », soulignent les chercheurs.
Similaire à une autre vulnérabilité découverte l’année dernière
Les chercheurs ont également noté que cette exploitation était très similaire à la vulnérabilité CVE-2021-34480, découverte par le Google Project Zero (GPZ) l’an dernier dans le compilateur JIT d’IE11. L’analyse de GPZ sur la faille d’IE a également permis d’identifier le compilateur JIT d’IE.
A l’époque, Ivan Fratric, chercheur au GPZ, mettait en garde sur le fait que malgré la fin de prise en charge d’IE11 par Microsoft, IE (ou le moteur IE) était toujours intégré dans d’autres produits, notamment Microsoft Office. En raison de cette intégration toujours existante, le chercheur se demandait combien de temps il faudrait avant que les attaquants cessent d’en abuser.
APT37 aux commandes
Les chercheurs du TAG précisent que dans un scénario typique, lorsqu’un exploit IE est envoyé par un document Office, l’utilisateur doit désactiver Office Protected View avant que le RTF distant ne soit récupéré.
Si le groupe d’analyse des menaces de Google n’a pas trouvé la charge utile finale de cette campagne, il souligne que APT37 (également connu sous le nom de ScarCruft et Reaper) a utilisé plusieurs implants tels que ROKRAT, BLUELIGHT et DOLPHIN. « Les implants d’APT37 utilisent généralement des services cloud légitimes, comme un canal C2, et permettent des capacités typiques de la plupart des portes dérobées. »
Le TAG a également félicité Microsoft pour la rapidité de son correctif, qui a été livré huit jours après la première analyse du fichier Office malveillant à partir de VirusTotal.
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));