Depuis le déploiement du Patch Tuesday d'octobre, des utilisateurs ont constaté un changement sur Windows et avec l'Explorateur de fichiers qui refuse d'afficher un aperçu pour les fichiers téléchargés sur internet.
Dans un document de support, Microsoft confirme qu'il ne s'agit pas d'un bug, expliquant que c'est une amélioration de la sécurité en empêchant l'exploitation d'une vulnérabilité spécifique.
Quelle est la vulnérabilité corrigée par ce changement ?
Le problème résidait dans une fuite de hachages NTLM si un utilisateur prévisualisait un fichier contenant des balises HTML faisant référence à des chemins externes (link ou src, par exemple).
Des attaquants pouvaient exploiter la fonctionnalité d'aperçu pour capturer des identifiants sensibles, simplement en incitant un utilisateur à sélectionner un fichier piégé, sans même avoir à l'ouvrir.
Une protection basée sur MotW
La protection repose sur une fonctionnalité de sécurité existante de Windows : le Mark of the Web (MotW). Il s'agit d'un drapeau de sécurité que Windows applique automatiquement à tout contenu provenant de la zone de sécurité Internet. Désormais, par défaut, la fonctionnalité d'aperçu est désactivée pour tous les fichiers portant ce marqueur MotW.
Lorsqu'un utilisateur tente de prévisualiser un fichier bloqué, l'Explorateur de fichiers affiche un message d'avertissement :
" Le fichier pour lequel vous tentez d'afficher un aperçu peut endommager votre ordinateur. S'il s'agit d'un fichier de confiance ou que vous connaissez la source, ouvrez-le pour afficher son contenu. "
Un blocage qui peut être contourné
Le cas échéant, Microsoft précise qu'il est possible de retirer le blocage manuellement. Il faut se rendre dans les Propriétés du fichier via le menu contextuel, puis cocher la case Débloquer dans l'onglet Général. La prise en compte de ce contournement est susceptible de nécessiter une reconnexion de session.
