Microsoft alerte concernant une vulnérabilité de sécurité 0day qui affecte Windows et pour laquelle il a été identifié un nombre limité d'attaques ciblées. Elles tentent d'exploiter cette vulnérabilité CVE-2021-40444 sans correctif disponible en utilisant des documents Microsoft Office spécialement conçus.
De type exécution de code à distance, mais pas jugée critique par Microsoft, la vulnérabilité réside dans MSHTML - alias Trident - qui est un composant du système d'exploitation et moteur de rendu d'Internet Explorer.
Microsoft explique qu'un attaquant doit convaincre l'utilisateur d'ouvrir un document piégé qui intègre un contrôle ActiveX malveillant avec une exécution par le moteur de rendu du navigateur. Le mode protégé par défaut de Microsoft Office avec l'ouverture de documents constitue une mesure de sécurité face à une attaque.
L'antivirus Microsoft Defender a été mis à jour pour tenir compte de la vulnérabilité. Comme solution de contournement (en attendant un patch), Microsoft aiguille vers la désactivation de l'installation de tous les contrôles ActiveX dans Internet Explorer et détaille une manipulation dans la base de registre.
We have reproduced the attack on the latest Office 2019 / Office 365 on Windows 10 (typical user environment), for all affected versions please read the Microsoft Security Advisory. The exploit uses logical flaws so the exploitation is perfectly reliable (& dangerous).
— EXPMON (@EXPMON_) September 7, 2021
Les attaques ont été signalées par des chercheurs de Microsoft, Mandiant ainsi que Expmon qui précise avoir été en mesure de reproduire une attaque sur la dernière version Office 2019 / Office 365 sur Windows 10.
