Ce n’est pas le Patch Tuesday, mais Microsoft vient tout juste de déployer en urgence des correctifs pour deux nouvelles vulnérabilités, dont une faille zero-day sur Internet Explorer que les pirates exploitent activement.
Découverte par Clément Lecigne du groupe d’analyse des menaces de Google et répertoriée sous le nom CVE-2019-1367, la zero-day d’IE est une vulnérabilité d’exécution de code à distance qui utilise la façon dont le moteur de script de Microsoft gère les objets dans la mémoire d’IE.
La vulnérabilité est un problème de corruption de mémoire qui pourrait permettre à un attaquant distant de détourner un PC tournant sous Windows simplement en incitant l’utilisateur à afficher une page Web spécialement conçue et piégée, en utilisant Internet Explorer.
« Un attaquant qui [aurait] réussit à exploiter la faille pourrait obtenir les mêmes droits que l’utilisateur actif. Si l’utilisateur en question est connecté avec des droits d’administrateur, l’attaquant pourrait prendre le contrôle d’un système affecté », explique Microsoft dans son avis.
La vulnérabilité affecte les versions 9, 10, 11 d’Internet Explorer, et bien que les utilisateurs doivent toujours déployer des mises à jour pour chacun des logiciels installés sur leur machine lorsqu’elles sont disponibles, il est fortement recommandé d’utiliser un autre navigateur Web plus sûr, comme Google Chrome ou Mozilla Firefox.
Microsoft a déclaré que cette vulnérabilité est activement exploitée dans la nature par des attaquants, mais n’a pas révélé d’autres détails sur la campagne d’exploitation.
Microsoft a également publié une deuxième mise à jour de sécurité en dehors du planning habituel pour corriger une vulnérabilité de déni de service (DoS) dans Microsoft Defender, le moteur antimalware livré avec Windows 8 et les versions ultérieures du système d’exploitation Windows.
Découverte par Charalampos Billinis de F-Secure et Wenxu Wu de Tencent Security Lab et répertoriée sous le nom CVE-2019-1255, la faille réside dans la façon dont Microsoft Defender gère les fichiers et affecte le moteur Malware Protection de Microsoft jusqu’à la version 1.1.1.16300.1.
Selon un avis publié par l’éditeur, un attaquant pourrait exploiter cette vulnérabilité « pour empêcher des comptes légitimes d’exécuter des binaires système légitimes », mais pour exploiter cette faille, l’attaquant « exige d’abord l’exécution sur le système victime ».
La mise à jour de sécurité pour Microsoft Defender est automatique, et sera donc appliquée automatiquement par l’intermédiaire du moteur de protection contre les logiciels malveillants dans les 48 heures à venir. Le défaut a été corrigé dans la version 1.1.16400.2 du moteur de protection.
L’une des deux failles étant activement exploitée par les pirates, il est vivement recommandé de procéder à ces mises à jour rapidement.