Il a fallu un an à Microsoft avant de corriger une faille zero day de Windows ressuscitant Internet Explorer

Mélina LOUPIA
Publié le 11 juillet 2024 à 16h12
On le croyait mort, Internet Explorer vit encore... grâce à une faille de sécurité - © monticello / Shutterstock
On le croyait mort, Internet Explorer vit encore... grâce à une faille de sécurité - © monticello / Shutterstock

Des chercheurs ont découvert une vulnérabilité zero day dans Windows, exploitée depuis janvier 2023. Cette faille permettait aux pirates de forcer l'ouverture d'Internet Explorer et d'exécuter du code malveillant. Microsoft l'a corrigée le 9 juillet 2024… plus d'un an après sa première utilisation.

Mieux vaut tard que jamais pour Microsoft, qui vient de corriger une faille de sécurité vieille d'un an. Cette vulnérabilité, présente dans Windows 10 et 11, permettait aux pirates informatiques de ressusciter Internet Explorer pour mener leurs attaques. Les chercheurs de Check Point Research ont découvert cette faille zero day, exploitée activement depuis janvier 2023.

Le problème résidait dans le moteur MSHTML de Windows. Les attaquants utilisaient des fichiers de raccourci Internet spéciaux pour tromper les utilisateurs. Ces fichiers semblaient pointer vers des PDF inoffensifs, mais en réalité, ils forçaient l'ouverture d'Internet Explorer. Une fois IE lancé, les pirates pouvaient exécuter du code malveillant sur l'ordinateur de la victime.

Décidément, les hackers sont de véritables adeptes de l'économie circulaire en recyclant de vieux outils pour servir leurs basses besognes. Quand ce ne sont pas leurs malwares oubliés au fond des tiroirs, comme Lazarus Group avec KaolinRAT, ils dépoussièrent un navigateur abandonné depuis 2022.

Une faille qui ressuscite Internet Explorer : comment ça marche ?

La vulnérabilité découverte par Check Point Research est particulièrement retorse. Elle exploite une astuce baptisée « mhtml » pour forcer l'ouverture d'Internet Explorer, un navigateur pourtant mis au rebut par Microsoft en 2022.

Le mécanisme est le suivant : un fichier de raccourci Internet (.url) est créé avec une icône trompeuse, le faisant passer pour un PDF. Quand l'utilisateur clique dessus, au lieu d'ouvrir Edge ou Chrome, c'est Internet Explorer qui se lance. IE étant obsolète et moins sécurisé, il offre une porte d'entrée idéale aux pirates.

Navigateur Web : le Top 6 en 2024
A découvrir
Navigateur Web : le Top 6 en 2024
Comparatifs services

Une fois IE ouvert, une seconde astuce entre en jeu. Le navigateur affiche une boîte de dialogue demandant d'ouvrir un fichier PDF. Mais en réalité, c'est un fichier .hta malveillant qui est téléchargé et exécuté. Les pirates dissimulent l'extension .hta en ajoutant des caractères invisibles à la fin du nom de fichier.

Cette technique est d'autant plus dangereuse qu'Internet Explorer n'est plus censé être utilisé sur les systèmes Windows modernes. Son obsolescence le rend vulnérable à de nombreuses attaques. Microsoft l'a remplacé par Edge justement pour des raisons de sécurité.

Internet Explorer n'est plus censé être utilisé sur les systèmes Windows modernes © monticello / Shutterstock

Un correctif urgent à appliquer

Microsoft a enfin corrigé cette vulnérabilité dans son Patch Tuesday de juillet 2024, plus d'un an après sa première exploitation. La faille, identifiée sous le nom CVE-2024-38112, a reçu un score de gravité de 7 sur 10. Ce niveau élevé souligne l'importance d'appliquer rapidement le correctif.

Le délai entre la découverte et la correction pose question. Pendant plus d'un an, les pirates ont eu le champ libre pour exploiter cette faille. Ils ont pu mener des campagnes d'attaques ciblées sans être inquiétés. Ce genre de vulnérabilité zero day est particulièrement prisé des groupes de hackers sophistiqués, notamment ceux soutenus par des États.

Pour les utilisateurs, la priorité est d'appliquer le correctif sans tarder. Windows Update devrait le proposer automatiquement. En cas de doute, lancez une recherche manuelle de mises à jour.

A découvrir
Meilleur antivirus, le comparatif en août 2024
Comparatifs services

En attendant l'installation du patch, redoublez de vigilance. Méfiez-vous des fichiers reçus par mail, même s'ils semblent inoffensifs. Un PDF peut cacher une attaque. Évitez de cliquer sur des liens suspects. Si une boîte de dialogue inhabituelle apparaît, prenez le temps de la lire attentivement avant de cliquer.

Cette vulnérabilité rappelle l'importance de maintenir ses logiciels à jour. Les correctifs de sécurité ne sont pas qu'une formalité : ils colmatent des brèches parfois critiques. Activez les mises à jour automatiques quand c'est possible.

Enfin, il faut savoir tourner la page Internet. Internet Explorer n'a plus sa place sur un système moderne. Assurez-vous qu'il est bien désactivé sur vos appareils. Privilégiez des navigateurs maintenus et sécurisés comme Edge, Chrome ou Firefox.

Microsoft Edge
  • Intégration imminente de l'IA ChatGPT et DALL-E
  • Compatibilité avec les extensions Chrome
  • Espaces de travail appréciables en travail collaboratif
7.5 / 10
Télécharger
Lire le test

Source : Ars Technica, Check Point Research, Microsoft

Par Mélina LOUPIA
XLinkedIn

Modératrice, contributrice et community manager pour le regretté OVNI Le Post, puis journaliste société spécialisée dans la parentalité et la psychologie notamment sur Le HuffPost, l'univers du Web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet s'inscrit dans le champ de mes sujets préférés.

Articles de Mélina LOUPIA
Navigateur web
Google
Microsoft
Windows
Internet
Actualités High-Tech
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (3)
Kriz4liD

bien joué Microsoft !

Kratof_Muller

C’est génial, puisque plus personne n’utilise Internet explorer (sauf pour de vieilles api d’entreprises que les fainéants de presta ou avares patrons n’ont pas pris soins de mettre à jour) un navigateur dont les billets sur la sécurité, ou plutôt l’absence de sécurité au seins de l’OS Crosoft sont connues, avec autant de failles CVE actives.

La grande question est donc pourquoi Crosoft à (sciemment !?) laissé ce navigateur utilisable dans l’OS au lieu de le désinstaller et proposer via les ajouts de fonctionnalités la possibilité de le réinstaller, ou d’un installer une couche sandbox.

Le complotiste parle : Pour tailler des steaks et des bavettes, c’est le kit de bienvenue spécial NSA. Et puis si c’était la seule CVE encore active … Y’en a d’autres.

Sinon avec toute cette intelligence, pourquoi ? Parce que ce sont des crétins qui ont trop d’argent et savent pas quoi en faire ; non, vraiment il y a anguille sous roche.

AllYourBaseBelongToUS

Aegis

Merci de parler de sécurité, c’est tres agréable d’avoir des infos grand public.

Mais le titre est malhonnête. Les sources montrent que la faille a été découverte seconde moitié de Mai. Microsoft a mis moins d’un mois pour la corriger, ce qui est rapide.

Il est courant qu’une faille soit découverte après son exploitation. Certaines failles sur les libraires de chiffrement open source, reduction d’entropie, ont été découverte plus de 10 ans après leur introduction volontaire dans le code.

Sur le même sujet
Dans son Patch Tuesday de mai, Microsoft annonce 2 failles zero-day déjà exploitées parmi les 60 corrigées
Le malware DarkGate exploite une faille Microsoft déjà corrigée pour se propager
Microsoft corrige le "bug" qui importait automatiquement les données de Chrome dans Edge
8 commentaires
Windows : Microsoft corrige pas moins de 73 vulnérabilités, dont 5 grosses failles critiques
3 commentaires
Google Chrome commence bien l'année en corrigeant un bug critique
1 commentaire
Facebook
X