Microsoft a révélé qu’une vulnérabilité d’usurpation d’identité de Windows révélée dans le Patch Tuesday de la semaine dernière avait été exploitée lors d’attaques Zero Day plus tôt cette année.
La vulnérabilité d’usurpation d’identité, identifiée comme CVE-2024-43461, est une faille de haute gravité dans la plate-forme MSHTML de Windows avec un score CVSS de 8,8. La faille, qui a été divulguée et atténuée dans le Patch Tuesday de septembre de Microsoft, affecte le mode Internet Explorer dans le navigateur Microsoft Edge.
CVE-2024-43461 a été découvert et signalé par Peter Girnus, chasseur de menaces senior chez Zero Day Initiative de Trend Micro. Selon un avis ZDI, la vulnérabilité d’usurpation d’identité permet à un attaquant distant d’exécuter du code sur des systèmes Windows non corrigés. “La faille spécifique réside dans la manière dont Internet Explorer invite l’utilisateur après le téléchargement d’un fichier. Un nom de fichier contrefait peut masquer la véritable extension du fichier, induisant ainsi l’utilisateur en erreur en lui faisant croire que le type de fichier est inoffensif”, lit-on dans l’avis.
Microsoft a mis à jour vendredi son propre avis pour CVE-2024-43461 et a révélé que la faille avait déjà été exploitée dans la nature en tant que vulnérabilité zero-day. “CVE-2024-43461 a été exploité dans le cadre d’une chaîne d’attaque liée à CVE-2024-38112, avant juillet 2024. Nous avons publié un correctif pour CVE-2024-38112 dans nos mises à jour de sécurité de juillet 2024 qui a brisé cette chaîne d’attaque, ” Microsoft a déclaré dans l’avis mis à jour.
CVE-2024-38112 est également une vulnérabilité d’usurpation d’identité dans la plate-forme MSHTML de Windows qui a été divulguée et corrigée dans le Patch Tuesday de juillet de Microsoft. La faille a été découverte et signalée à Microsoft par Haifei Li, chercheur principal en vulnérabilités chez Check Point Software Technologies.
Dans un article de blog publié le 9 juillet, Li a présenté des preuves techniques selon lesquelles CVE-2024-38112 avait été exploité dès janvier 2023. « Cela suggère que les acteurs malveillants utilisent ces techniques d’attaque depuis un certain temps », a écrit Li dans le article de blog.
Quelques jours plus tard, un rapport Trend Micro co-écrit par Girnus a révélé que CVE-2024-38112 avait été exploité par un groupe de menaces persistantes avancées (APT) connu sous le nom de Void Banshee. Selon le rapport, Void Banshee a utilisé la faille zero-day pour déployer un nouveau voleur d’informations appelé Atlantida.
Trend Micro a averti que même si Microsoft a mis fin à la prise en charge d’Internet Explorer en 2022, le code IE est toujours présent dans Windows. Cela permet aux acteurs malveillants d’exploiter des failles telles que CVE-2024-38112 malgré l’absence de l’application IE sur les systèmes ciblés.
« Dans cette campagne, nous avons observé que même si les utilisateurs ne peuvent plus accéder à IE, les auteurs de menaces peuvent toujours exploiter des reliques Windows persistantes comme IE sur leur machine pour infecter les utilisateurs et les organisations avec des ransomwares, des portes dérobées ou comme proxy pour exécuter des attaques. d’autres souches de logiciels malveillants”, indique le rapport. “La capacité des groupes APT comme Void Banshee à exploiter des services désactivés tels que IE constitue une menace importante pour les organisations du monde entier.”
On ne sait pas exactement comment l’exploitation précédente de CVE-2024-43461 a été découverte. TechTarget Editorial a contacté Microsoft pour des commentaires supplémentaires, mais la société n’avait pas répondu au moment de la publication.
L’avis mis à jour de Microsoft encourage les utilisateurs à appliquer les mises à jour de sécurité de juillet 2024 et septembre 2024 pour protéger pleinement leurs systèmes.
Rob Wright est journaliste de longue date et directeur principal des informations pour l’équipe de sécurité de TechTarget Editorial. Il dirige la couverture des dernières nouvelles et tendances en matière de sécurité de l’information. Vous avez un conseil ? Envoyez-lui un e-mail.
