Une nouvelle vulnérabilité zero-day, CVE-2021-40444, a été trouvé caché dans Internet Explorer, permettant aux pirates d'exploiter les systèmes Windows exposés via des documents Office malveillants.
en relation: CVE-2021-36948 Zero-Day dans Windows Update Medic exploité à l'état sauvage
CVE-2021-40444 Faille RCE utilisée dans les attaques ciblées
La vulnérabilité d'exécution de code à distance, évalué avec un score CVSS de 8.8, provient du MSHTML (Trident) moteur de navigation propriétaire pour Internet Explorer. Le moteur est également utilisé dans Microsoft Office pour restituer du contenu Web dans Word, Exceller, et documents PowerPoint. Selon Microsoft, la vulnérabilité a été militarisée dans des attaques ciblées à l'aide de documents Office spécialement conçus.
« Un attaquant pourrait créer un contrôle ActiveX malveillant à utiliser par un document Microsoft Office qui héberge le moteur de rendu du navigateur.. L'attaquant devrait alors convaincre l'utilisateur d'ouvrir le document malveillant. Les utilisateurs dont les comptes sont configurés pour avoir moins de droits d'utilisateur sur le système pourraient être moins impactés que les utilisateurs qui fonctionnent avec des droits d'utilisateur administratifs," le conseil de l'entreprise dit.
Il convient également de noter que les utilisateurs de Windows qui s'appuient sur des mises à jour automatiques n'ont besoin de prendre aucune mesure supplémentaire pour corriger la vulnérabilité CVE-2021-40444.. Cependant, les clients d'entreprise qui gèrent les mises à jour doivent sélectionner la version de détection 1.349.22.0 ou plus récent et le déployer dans leurs environnements, la société ajoute.