Microsoft a livré un correctif pour une faille critique dans Internet Explorer (IE) qui est exploitée à l'état sauvage. Suivi sous la référence CVE-2019-1429, cette vulnérabilité fait partie du lot de mises à jour de sécurité régulières de ce mois-ci, connu sous le nom de Patch Tuesday.
Cette vulnérabilité jour zéro (ou zero-day) représente est une faille dans l'exécution du code à distance qui, selon l’avertissement émis par Microsoft, concerne la façon dont le moteur de script du navigateur gère les objets en mémoire. La faille de sécurité affecte toutes les versions actuelles d'IE et pourrait être exploitée par un acteur de la menace pour inciter les victimes à visiter un site Web malveillant via le navigateur.
« Un attaquant ayant exploité avec succès la vulnérabilité pourrait obtenir les mêmes droits d'utilisateur que l'utilisateur actuel. Si l'utilisateur actuel est connecté avec des droits d'administrateur, un attaquant qui a exploité avec succès la vulnérabilité pourrait prendre le contrôle d'un système affecté », souligne le géant technologique. A partir de là, les attaquants pouvaient installer des programmes, falsifier des données et créer de nouveaux comptes avec tous les droits d'utilisateur.
Il est important de noter qu’un autre vecteur d'attaque potentiel existe. Pis encore, ce vecteur n’exige même pas que vous utilisiez IE pour vos besoins de navigation sur le Web. « Un attaquant pourrait également intégrer un contrôle ActiveX marqué comme étant "safe for initialization" » dans une application ou un document Microsoft Office qui héberge le moteur de rendu IE », explique Microsoft.
Les détails sur la nature des attaques exploitant la vulnérabilité, qui a été découverte indépendamment par des chercheurs de Google, Resecurity et iDefense Labs, sont rares. Resecurity souligne cependant que la faille a probablement été exploitée en conjonction avec une vulnérabilité découverte précédemment répertoriée comme CVE-2019-0880. La société n'a pas attribué les attaques à un groupe APT en particulier, mais a déclaré qu'elle pensait que les attaques avaient été menées par un groupe de cyberespionnage pour cibler un éventail de victimes dans diverses parties du monde.
Il n'y a pas de facteurs atténuants ou de solutions de rechange connus pour les utilisateurs qui ne peuvent pas mettre en œuvre le correctif rapidement. Certes, la faille jour-zéro n'est qu’un autre rappel de l’importance de corriger rapidement les failles de sécurité, en particulier celles qui ne nécessitent que peu d'interaction de la part de l'utilisateur.
Ce tableau réalisé par le SANS Technology Institute, résume bien l'ensemble des correctifs de sécurité apportés au cours du mois. On y liste des patchs pour 74 failles sur différents produits et services, dont Microsoft Edge, Office, Exchange Server et Windows Hyper-V. Quinze des vulnérabilités ont été classées parmi les plus graves par Microsoft comme « critiques », les autres ayant été classées comme « importantes ».