Dans la jungle des failles, hackers éthiques et chercheurs en sécurité non intéressés constituent de précieuses vigies. Endossant en quelque sorte un rôle de « lanceurs d'alerte » à l'égard des fournisseurs dont les solutions présentent parfois des menaces directes pour leurs utilisateurs, ils sont très souvent cités et nommés directement dans les avis de sécurité. Cependant cette reconnaissance est loin d'être systématique concourant à échauffer quelque peu les esprits, même des meilleures âmes. C'est précisément ce qui s'est passé dernièrement avec la découverte par les chercheurs de la Zero Day Initiative (ZDI) appartenant à l'éditeur de sécurité Trend Micro, de la faille exploitée CVE-2024-38112 de score CVSS 7.5 relative à de l'usurpation de la plate-forme MSHTML de Windows.
Corrigée dans le dernier patch tuesday de juillet de la firme de Redmond, cette vulnérabilité n'a fait l'objet d'aucune attribution ce qui n'a pas manqué de soulever un petit vent d'amertume pour les principaux intéressés. Le coeur de la polémique venant certainement du fait que la ZDI a identifié cette CVE comme RCE (exécution de code à distance) ce qui n'a pas été le cas pour Microsoft qui a préféré la ranger dans la case des attaques par spoofing (usurpation). « Ils [Microsoft] nous disent que ce que nous avons signalé est une correction de défense en profondeur, mais ils ne veulent pas nous dire ce qu'est réellement cette correction de défense en profondeur », a expliqué Dustin Childs, responsable de la sensibilisation aux menaces chez ZDI à notre confrère The Register. « Des personnes de Trend Micro ont eu Microsoft au téléphone pour comprendre ce qu'il s'est passé mais il semble qu'ils ne comprennent pas vraiment ce qu'il se passe avec ce correctif ».
Un correctif inattendu
Il s'agit d'un exploit plutôt astucieux », a indiqué Dustin Childs. « Ces acteurs malveillants ont trouvé un moyen de ressusciter un Internet Explorer zombie pour s'en servir de stealer pour rechercher des portefeuilles de crypto-monnaies. » Selon une analyse technique de l'exploitation de cette faille MSHTML baptisée Void Banshee et publiée par Peter Girnus et Aliakbar Zahravi de Trend Micro, cible des entreprises en Amérique du Nord, en Europe et en Asie du Sud-Est, afin d'exécuter le malware de vol d'informations Atlantida sur les PC Windows. La faille a été rapportée à Microsoft mi-mai sans que ce dernier ne soit jamais revenu vers la ZDI depuis, malgré sa dangerosité. Jusqu'à la veille de la publication du patch tuesday la semaine passée, elle était répertoriée comme étant en cours de correction par le service de réponse à incidents du groupe (MSRC) augurant d'un correctif pour août alors que Trend Micro avait déjà apporté de son côté un correctif pour ses utilisateurs.
Microsoft n'a pour l'instant pas encore réagi face aux critiques de la ZDI et de Trend Micro. La firme de Redmond est cependant loin d'être un cas isolé : d'autres comme Autodesk, Ivanti, Dassault Systèmes, JetBrains... sont également pointés du doigt par Dustin Childs pour leur manque de loyauté envers les découvreurs de failles. « Ce sont les utilisateurs finaux qui vont finir par souffrir de cette situation », a prévenu ce dernier. « S'ils ne sont pas en mesure d'évaluer avec précision le risque pour leurs systèmes, ils pourraient ne pas être en mesure de déployer les correctifs dans les délais appropriés. »