Actualités

Faille 0-day Internet Explorer : après Enki, au tour de 0patch d’apporter de nouveaux éléments !

Début Février 2021, l’équipe Enki mettait en relief un nouveau tournant de la brèche sécuritaire exploitée par ZINC (Lazarus) et dévoilée par Google et Microsoft, fin Janvier 2021 : de type 0-day, il s’agissait d’une cyber-attaque qui s’insinuait dans les réseaux sociaux pour mieux duper des experts ou analyse sécuritaire. Une fois la conversation amorcée, des fichiers étaient téléchargés par la victime sous forme de pseudo-projets de développement qui cachait, en réalité, des DLLs vérolés. D’autres liens renvoyaient à une ouverture vers le navigateur Web de Microsoft, ce qui donnait lieu à des injections par JavaScript. Au final, une ex-filtration de données (quasi-totale) du système pouvait être opérée à distance… Si Microsoft travaille encore sur un correctif officiel, le chercheur 0patch délivre un nouvel aspect de cette vulnérabilité avec, en prime, un micro-patch potentiellement applicable !

 

 

La vulnérabilité est un bogue “double free” qui peut être déclenché avec du code JavaScript et provoque une corruption de la mémoire dans l’espace de processus d’Internet Explorer. Comme c’est souvent le cas, cette corruption de mémoire pourrait être gérée avec soin et transformée en accès arbitraire en lecture / écriture à la mémoire – qui peut ensuite être exploitée pour l’exécution de code arbitraire. Les attaquants ont livré l’exploit dans un fichier MHTML pour s’assurer que les destinataires l’ouvriraient dans Internet Explorer (qui est enregistré pour ouvrir ce type de fichier). Alors que cette méthode de livraison obligeait les destinataires à confirmer un avertissement de sécurité concernant l’exécution du contenu actif, l’exploit pouvait être livré sans un tel avertissement si la victime visitait un site Web malveillant avec Internet Explorer”, indique le billet de 0patch, le 17 Février 2021.

Le correctif du chercheur se concentre au niveau de l’injection JavaScript, “à l’intérieur de la fonction CAttribute” : juste avant cette étape malveillante (au niveau du nœud), le type-variant est analysé. Si celui-ci équivaut à 9, le patch fait en sorte de terminer aussitôt l’exploit. Ce correctif est disponible pour les versions 32 et 64 bits de Windows (Server 2016, Server 2019, Server 2008 R2, Windows 7 et Windows 10). Microsoft devrait, en toute logique, sous peu, délivrer son correctif en s’inspirant (?) de ce qui est gratuitement proposé ici… A veiller !

 

 

Source : Blog 0Patch – 17 Février 2021 – Correctif pour la faille 0day IE impliquant le groupe Lazarus, depuis, au moins, Janvier 2021.

 




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.4a