Microsoft a refusé de patcher une vulnérabilité zero-day dans Internet Explorer pour laquelle un chercheur en sécurité a publié des détails et une preuve de concept. La faille peut permettre à des pirates de voler des fichiers à partir d'ordinateurs fonctionnant sous Windows.
Plus précisement, le chercheur testé avec succès le zéro jour exploit dans la dernière version du navigateur Internet Explorer, v11, où tous les correctifs de sécurité récents ont été appliquées. Les systèmes où l'exploit a été testé sont Windows 7, Fenêtres 10, et Windows Server 2012 systèmes R2.
Zero-Day Exploit dans Internet Explorer
Le chercheur en sécurité John Page vient de publier des détails sur un XEE (XML Entité externe) défaut dans Internet Explorer. Le bug peut être déclenché lorsqu'un utilisateur ouvre un fichier MHT.
Qu'est-ce qu'un fichier MHT? MHT est une page Web format de fichier d'archive. La page Web archivée est un MHTML (MIME HTML court pour) document. MHTML enregistre le contenu de la page Web et intègre des ressources externes, telles que les images, applets, animations Flash, etc., dans des documents HTML, TechTarget explique.
Notez que lorsque vous enregistrez une page Web dans Internet Explorer comme une archive web, la page est enregistrée en tant que fichier MHT. Tous les liens relatifs dans le HTML (qui ne comprennent pas toutes les informations sur l'emplacement du contenu, mais supposons tout le contenu est dans un répertoire sur le serveur hôte) sera reconfiguré de sorte que le contenu peut être situé.
Le zéro jour récemment découvert dans Internet Explorer peut permettre aux pirates d'exfiltrer les fichiers locaux et effectuer une reconnaissance à distance des informations de version du programme installé localement, le chercheur a expliqué. Un exemple est quand une demande de ‘c:\Python27 NEWS.txt‘ peut renvoyer des informations de version pour ce programme, il ajouta. En un mot, “Internet Explorer est vulnérable aux attaques XML Entité externe si un utilisateur ouvre un fichier spécialement conçu localement MHT.”
Le fait que tous les fichiers MHT sont automatiquement configurés pour ouvrir par défaut dans IE fait l'exploit plutôt trivial. Les victimes potentielles ne devront double-cliquer sur un fichier précédemment, ils ont reçu par courriel ou par messagerie instantanée.
Selon la page, la vulnérabilité repose sur la façon dont Internet Explorer gère CTRL + K (onglet double), “Aperçu avant impression,” ou “Impression” commandes de l'utilisateur.
La vulnérabilité présente un risque à environ 7.34 pour cent des utilisateurs, selon les statistiques NetMarketShare, que de moins en moins les utilisateurs exécutent Internet Explorer comme ils comptent sur les navigateurs plus modernes.
Cependant, le zéro jour ne doit pas être négligé comme Windows utilise encore IE comme l'application par défaut pour ouvrir les fichiers MHT. En fait, pour les utilisateurs d'être en danger, ils ne ont pas besoin d'avoir IE ensemble comme navigateur par défaut. Le fait que IE est présent dans leur Windows est suffisant pour les rendre vulnérables, comme les attaquants peuvent encore trouver un moyen d'inciter les utilisateurs à ouvrir un fichier MHT.
Qu'est-ce que Microsoft Say?
Le chercheur a informé Microsoft sur le zéro jour il y a deux ou trois semaines, en mars 27. Les mauvaises nouvelles sont que la société ne prévoit pas de corriger le bug dans un correctif de sécurité d'urgence. Voici la réponse de Microsoft a la page sur Avril 10:
Nous avons déterminé qu'un correctif pour cette question sera examinée dans une future version de ce produit ou service. À ce moment, nous ne fournirons des mises à jour en cours de l'état du correctif de ce problème, et nous avons fermé ce cas.
Après avoir reçu cette réponse négative, le chercheur a décidé de rendre public zéro jour et même publié une preuve de concept de code et une démo.