Faille MSHTML : des instructions publiées pour la création de fichiers malveillants
Alors que Microsoft a publié des informations pour se protéger contre la faille CVE-2021-40444 qui touche le moteur MSHTML utilisé par les applications Office, les pirates ont publiés des instructions pas à pas pour créer des documents malveillants.
La semaine dernière, je vous parlais de la faille de sécurité CVE-2021-40444 qui touche le moteur MSHTML d'Internet Explorer, et qui rend vulnérable les applications Office, notamment Word, Excel et PowerPoint. Microsoft n'ayant pas encore de correctifs à proposer et la vulnérabilité étant connue par les pirates, la firme de Redmond a préférée en parler publiquement pour avertir les utilisateurs et donner des informations pour se protéger.
Pour rappel, il faut un document Office malveillant pour exploiter cette faille de sécurité et infecter la machine de la victime. Jusqu'ici, c'étaient les mêmes documents malveillants qui étaient utilisés dans les attaques, ce qui simplifiait la détection. Le problème, c'est que depuis ce week-end, il y a des guides disponibles sur des forums et qui expliquent comment créer un document Word malveillant pour exploiter la faille CVE-2021-40444. Tout est expliqué pas à pas, comme le rapporte certains chercheurs en sécurité, y compris la création d'un serveur Python pour distribuer les fichiers malveillants.
La bonne nouvelle malgré tout, c'est que Microsoft Defender, c'est-à-dire l'antivirus intégré à Windows, est capable de détecter ces exploits. Deux noms différents sont associés : "Trojan:Win32/CplLoader.a" et "TrojanDownloader:HTML/Donoff.SA". Pour que la détection fonctionne, vous devez disposer au minimum de la version 1.349.22.0 du moteur de détection.
Pour vous protéger sans compter sur l'antivirus, il faut :
- Désactiver l'installation des contrôles ActiveX au sein d'Internet Explorer
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] "1001"=dword:00000003 "1004"=dword:00000003
Il suffit de copier-coller les instructions ci-dessus dans un fichier vierge, d'enregistrer ce fichier en ".reg" et de l'ouvrir pour mettre à jour la base de Registre. Ensuite, il faut redémarrer la machine.
- Désactiver la prévisualisation des documents dans l'Explorateur de fichiers Windows
Pour les documents Word :
HKEY_CLASSES_ROOT\.docx\ShellEx\{8895b1c6-b41f-4c1c-a562-0d564250836f}
HKEY_CLASSES_ROOT\.doc\ShellEx\{8895b1c6-b41f-4c1c-a562-0d564250836f}
HKEY_CLASSES_ROOT\.docm\ShellEx\{8895b1c6-b41f-4c1c-a562-0d564250836f}
Pour les fichiers RTF :
HKEY_CLASSES_ROOT\.rtf\ShellEx\{8895b1c6-b41f-4c1c-a562-0d564250836f}
A partir de l'éditeur de Registre "regedit.exe", vous devez naviguer jusqu'aux différentes valeurs listées ci-dessus et supprimer la valeur de la valeur par défaut.
N'oubliez pas qu'il est recommandé de sauvegarder le Registre avant d'effectuer des modifications. A minima, testez sur une machine non critique.
Je vous rappelle que la vulnérabilité affecte même les versions les plus récentes de Microsoft Office et de Windows, que ce soit Office 2019 ou la version Office 365, ainsi que la dernière version de Windows 10.
Espérons que le Patch Tuesday qui sortira demain contiendra un correctif de sécurité pour cette faille !
