La vulnérabilité réside dans la façon dont Internet Explorer traite les fichiers MHT. MHT signifie MHTML Web Archive et est la norme par défaut selon laquelle tous les navigateurs IE enregistrent les pages Web lorsqu'un utilisateur appuie sur la commande CTRL + S (Enregistrer la page Web). Les navigateurs modernes n'enregistrent plus les pages Web au format MHT et utilisent le format de fichier HTML standard; Cependant, de nombreux navigateurs modernes prennent toujours en charge le traitement du format.
« Internet Explorer est vulnérable aux attaques XML External Entity si un utilisateur ouvre localement un fichier .MHT spécialement conçu », explique Page. « Cela peut permettre à des attaquants distants d'exfiltrer potentiellement des fichiers locaux et d'effectuer une reconnaissance à distance des informations de version de programme installées localement », indiquant que, par exemple, une requête “c:\Python27\NEWS.txt” peut renvoyer des informations sur la version de ce programme.
En gros, cela signifie que les hackers exploitent une vulnérabilité en utilisant les fichiers .MHT, qui est le format de fichier utilisé par Internet Explorer pour ses archives Web.
Pour lancer l'exploit, un utilisateur doit simplement ouvrir une pièce jointe reçue par courrier électronique, messagerie ou autre service de transfert de fichier.
Comme sous Windows, tous les fichiers MHT sont automatiquement configurés pour s'ouvrir par défaut dans Internet Explorer, l'exploitation de cette vulnérabilité est simple, car les utilisateurs doivent simplement double-cliquer sur un fichier qu'ils ont reçu par courrier électronique, messagerie instantanée ou un autre vecteur.
Page précise que le code vulnérable réel dépend de la manière dont Internet Explorer traite les commandes utilisateur CTRL + K (onglet en double), « Aperçu avant impression » ou « Imprimer »
Cela nécessite normalement une certaine interaction de l'utilisateur, mais Page a déclaré que cette interaction pourrait être automatisée et non nécessaire pour déclencher la chaîne d'exploit de vulnérabilité.
« Un simple appel à la fonction Javascript window.print () devrait suffire sans aucune interaction de l'utilisateur avec la page Web », a-t-il déclaré.
De plus, le système d'alerte de sécurité d'Internet Explorer peut également être désactivé.
« Généralement, lors de l'instanciation d'objets ActiveX tels que "Microsoft.XMLHTTP", les utilisateurs recevront une barre d'avertissement de sécurité dans IE et seront invités à activer le contenu bloqué », a déclaré le chercheur. « Toutefois, lors de l’ouverture d’un fichier .MHT spécialement conçu à l’aide de balises <xml> malveillantes, l’utilisateur n’obtiendra pas cette information. ou avertissement de la barre de sécurité ».
Travailler sur un correctif d’urgence n’est pas nécessaire, selon Microsoft
Page a déclaré avoir testé avec succès l'exploit dans le dernier navigateur Internet Explorer 11 avec tous les correctifs de sécurité récents des systèmes Windows 7, Windows 10 et Windows Server 2012 R2.
Comme Windows utilise IE comme application par défaut pour ouvrir les fichiers MHT, les utilisateurs ne doivent pas nécessairement avoir IE configuré comme navigateur par défaut et sont toujours vulnérables tant que IE est toujours présent sur leurs systèmes et ils sont amenés à ouvrir un fichier MHT.
Page a déclaré qu'il avait informé Microsoft de cette nouvelle vulnérabilité d'Internet Explorer le 27 mars. Cependant, dans un message envoyé au chercheur le 10 avril, le fournisseur avait refusé d'envisager qu’il était nécessaire de développer d’urgence un correctif de sécurité pour le bogue :
« Nous avons déterminé qu'un correctif pour ce problème serait pris en compte dans une future version de ce produit ou service », a déclaré Microsoft, selon Page. « Pour le moment, nous ne fournirons pas de mises à jour régulières sur l'état du correctif relatif à ce problème, et nous avons fermé le dossier ».
Suite à la réponse ferme de Microsoft, le chercheur a publié sur son site des informations détaillées sur le jour zéro, ainsi que le code de validation technique et une démonstration sur YouTube.
Source : John Page
Voir aussi :
Le correctif IE d'urgence empêche le redémarrage de certains ordinateurs portables Lenovo, Microsoft propose des solutions de contournement
Microsoft fournit une mise à jour d'urgence pour corriger une faille critique dans IE qui permettrait d'exécuter du code malveillant à distance
Pendant des années, les utilisateurs ont eu droit à une version inférieure de Google sur Firefox mobile, Chrome serait-il devenu le nouvel IE 6 ?
Un bogue dans Internet Explorer permet de faire fuiter tout ce que vous tapez dans la barre d'adresse
Oublié depuis la sortie de Microsoft Edge, Internet Explorer reçoit une mise à jour ciblant les entreprises sous Windows 7 et 8.1