La vulnérabilité Windows CVE-2021-40444 n’a pas fini de faire parler d’elle

Annoncée le 7 septembre comme « 0 day » par Microsoft, la vulnérabilité CVE-2021-404441 affecte le moteur de rendu HTML de Microsoft, MSHTML, également connu sous le nom de Trident2.

Ce moteur est apparu en 1997 avec la version 4 d’Internet Explorer. Il est également utilisé par d’autres applications Microsoft telles qu’Outlook, la suite Microsoft Office ou encore l’explorateur de fichiers Windows.

Comme le signale le CERT-FR de l’ANSSI dans son alerte sur le sujet3, Microsoft indique bien dans son bulletin que la vulnérabilité est activement exploitée.

Des indicateurs de compromission en lien avec la vulnérabilité ont été rapidement identifiés et diffusés, comme sur le site d’Elastic Search notamment4.

Parmi ces indicateurs, on retrouve un fichier Word, une archive de type CAB5 et une DLL de type Beacon Cobalt Strike6.

Ces fichiers ont été largement diffusés sur des plateformes de partage de « malwares », comme Virus Total7, par exemple.

Le fichier HTML contenant le JavaScript permettant d’exploiter la vulnérabilité CVE-2021-40444, appelé par le fichier Word est assez facile à retrouver.

À partir de ce moment, nous pouvons considérer que la vulnérabilité est connue publiquement, et qu’elle va continuer d’être largement exploitée dans les semaines et mois à venir, d’autant plus qu’elle est assez facile à reproduire et que de nombreux POCs et tutoriels ont été diffusés sur le Web.

Pour tenter de comprendre comment fonctionne l’attaque, je vous invite à visionner la vidéo.
À l’ouverture du fichier Word, une connexion est établie vers une page Web contenant le JavaScript permettant d’exploiter la vulnérabilité

Le JavaScript contenu dans la page Web permet le téléchargement du fichier CAB contenant la DLL à exécuter, ici un Payload permettant d’établir une connexion vers un serveur Metasploit :

Dans cet exemple, l’attaquant dispose d’un accès à la machine dans le contexte de l’utilisateur ayant ouvert le fichier. Il pourra exécuter du code dans ce contexte, mais aussi tenter d’élever ses privilèges et prendre le contrôle de l’ensemble du système d’information.

Malgré un correctif publié le 14 septembre par Microsoft, la technique utilisée ici est très intéressante et risque d’être employée pour exploiter de nouvelles vulnérabilités à découvrir. Même si les jours du navigateur Web Internet Explorer sont comptés puisque sa fin de vie est annoncée pour juin 2022, l’utilisation du moteur de rendu HTML vieillissant Trident par de nombreuses applications Microsoft reste un vrai problème.

1 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

2 https://fr.wikipedia.org/wiki/Trident_(moteur_de_rendu)

3 https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-019/

4 https://discuss.elastic.co/t/detection-and-response-for-cve-2021-40444/283800

5 https://fr.wikipedia.org/wiki/Cabinet_(format_de_fichier)

6 https://cobaltstrike.com/help-beacon-object-files

7 https://www.virustotal.com/

Partager ce document sur les réseaux

?>