Vulnérabilité critique d’exécution de code à distance dans Microsoft Windows

Une vulnérabilité de type « Zero-Day » libellée sous le CVE-2021-40444 permettrait à un attaquant de s’introduire dans le système d’exploitation Windows à l’aide de documents Microsoft Office spécialement forgés.

Le document Office est spécialement conçu avec un contrôle ActiveX malveillant inclus, qui déclenche et exécute du code arbitraire sur le système victime.

DESCRIPTION 

La vulnérabilité existe en raison d’une validation d’entrée incorrecte dans « MSHTML » qui est un composant logiciel utilisé pour afficher des pages Web sous le système d’exploitation Microsoft Windows. Bien qu’il soit le plus souvent associé à Internet Explorer, il est également utilisé dans d’autres logiciels, notamment la suite Microsoft Office et autres.

Par cette vulnérabilité, un attaquant peut concevoir un contrôle ActiveX malveillant à utiliser par un document Microsoft Office pour accéder au moteur de rendu du navigateur MSHTML. Par la suite, ce dernier peut amener l’utilisateur à ouvrir le document piégé.

En effet, lorsqu’un utilisateur ouvre le document Office infecté, le contrôle ActiveX est téléchargé à partir du site Web de l’attaquant et est installé. Le code peut ensuite être exécuté à distance via MSHTML.

Cette vulnérabilité peut être exploitée par un attaquant distant non authentifié via Internet. Il faut noter que les utilisateurs ayant des privilèges administrateur sont plus à risque que ceux ayant des droits moins élevés.

IMPACT

  • Compromission de tout le système.

SYSTÈMES AFFECTÉS 

  • Windows 7 SP1, 8.1, 10, 10 20H2, 10 21H1, 10 1507, 10 1511, 10 1607, 10 1703, 10 1709, 10 1803, 10 1809, 10 1903, 10 1909, 10 2004, RT 8.1
  • Windows Server: 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2019 20H2, 2019  2004

MESURES À PRENDRE

Microsoft propose une mesure de contournement en attendant la sortie du correctif : la modification du registre empêchant l’installation de nouveaux contrôles ActiveX. Celle-ci est réversible.


Sources : Microsoft, bjCSIRT