Cybersécurité : L’alerte de Microsoft sur une 0day d'Internet Explorer activement exploitée

Dans la journée du 17 Janvier 2020, Microsoft a publié un avis de sécurité au sujet d’une vulnérabilité d'Internet Explorer (IE) actuellement exploitée par des attaquants. Celle-ci serait une faille 0day.  Cette vulnérabilité 0day dans Internet Explorer serait liée à celle découverte dans Firefox dans le courant de la semaine dernière. Et pour l’instant selon les experts, aucun correctif n’est disponible.  

La vulnérabilité, suivie sous le numéro CVE-2020-0674 et classée comme modérée, est un problème d'exécution de code à distance qui existe dans la manière dont le moteur de script traite les objets en mémoire d'Internet Explorer et se déclenche via la bibliothèque JScript.dll. En termes clairs, cette vulnérabilité permet aux attaquants de corrompre la mémoire utilisée par le moteur de script sur Internet Explorer 9, 10 et 11 en convainquant les victimes d'ouvrir une page web malveillante sur le navigateur Microsoft vulnérable. De fait, les pirates peuvent ensuite exécuter du code arbitraire avec les mêmes privilèges que l’utilisateur. Et si le hacker s'emparer d’un compte Administrateur, il devient très facile pour lui de prendre le contrôle total du PC.

Par ailleurs, Microsoft précise que par défaut, IE11, IE10 et IE9 utilisent Jscript9.dll qui n'est pas impacté par la vulnérabilité. "La vulnérabilité n'affecte que certains sites web qui utilisent jscript comme moteur de script."


Voici la description technique de Microsoft de cette faille :


"Il existe une vulnérabilité d'exécution de code à distance dans la façon dont le moteur de script gère les objets en mémoire dans Internet Explorer. Cette vulnérabilité pourrait corrompre la mémoire de telle manière qu'un attaquant pourrait exécuter du code dans le contexte de l'utilisateur actuel. Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait obtenir les mêmes droits d'utilisateur que l'utilisateur actuel. Si l'utilisateur actuel est connecté avec des droits d'administrateur, un attaquant qui parviendrait à exploiter la vulnérabilité pourrait prendre le contrôle d'un système affecté. Un attaquant pourrait alors installer des programmes; afficher, modifier ou supprimer des données; ou créer de nouveaux comptes avec des droits d'utilisateur complets.


Dans un scénario d'attaque basé sur le Web, un attaquant pourrait héberger un site Web spécialement conçu pour exploiter la vulnérabilité via Internet Explorer, puis convaincre un utilisateur de consulter le site Web, par exemple, en envoyant un e-mail."  


La vulnérabilité CVE-2020-0674 a été découverte par des chercheurs en sécurité du Threat Analysis Group de Google et du groupe de cybersécurité chinois Qihoo 360. Ce dernier a récemment été à l'origine de la découverte d'une vulnérabilité touchant le compilateur JavaScript à la volée du moteur JavaScript SpiderMonkey de Firefox.


Comment faire en tant qu’administrateur système ? Voici une solution de contournement : Se défendre contre les attaques jusqu'à l'arrivée d'un correctif

Selon l'avis publié par les experts en cybersécurité, empêcher le chargement de la bibliothèque JScript.dll peut bloquer manuellement l'exploitation de cette vulnérabilité.

Pour restreindre l'accès à JScript.dll, exécutez les commandes suivantes sur votre système Windows avec des privilèges d'administrateur.

Pour les  systèmes 32-bit :

      takeown / f% windir% \ system32 \ jscript.dll
      cacls% windir% \ system32 \ jscript.dll / E / P everyone: N

Pour les  systèmes 64-bit :

      takeown / f% windir% \ syswow64 \ jscript.dll
      cacls% windir% \ syswow64 \ jscript.dll / E / P everyone: N
      takeown / f% windir% \ system32 \ jscript.dll
      cacls% windir% \ system32 \ jscript.dll / E / P everyone: N

Et chose assez importante et cruciale : Lorsqu'une mise à jour corrective (patch) sera disponible, les utilisateurs devront annuler le contournement en utilisant les commandes suivantes:

Pour les  systèmes 32-bit :

      cacls %windir%\system32\jscript.dll /E /R everyone

Pour les  systèmes 64-bit :


      cacls %windir%\system32\jscript.dll /E /R everyone
      cacls %windir%\syswow64\jscript.dll /E /R everyone

Il est aussi important de  noter que certains sites web ou fonctionnalités peuvent se casser après la désactivation de la bibliothèque JScript.dll vulnérable qui repose sur ce composant, par conséquent, les utilisateurs doivent installer les mises à jour dès qu'elles sont disponibles. Et bien qu'Internet Explorer ne soit plus le navigateur par défaut dans les dernières versions du système d'exploitation Windows, le navigateur est toujours installé avec le système d'exploitation. Les utilisateurs des anciennes versions de Windows sont ceux qui sont les plus exposés. 


Fawaz MOUSSOUGAN,
Consultant en cybersécurité
IT Security and System Admin