Moins d'une petite semaine après le dernier patch tuesday, Microsoft a alerté de l'existence d'une vulnérabilité zero-day affectant Internet Explorer. « Il existe une vulnérabilité d'exécution de code à distance dans la façon dont le moteur de script gère les objets en mémoire dans Internet Explorer », a prévenu l'éditeur. « Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur actuel. Si ce dernier est connecté avec des droits d'administrateur, un attaquant qui parviendrait à exploiter la vulnérabilité pourrait prendre le contrôle d'un système affecté, installer des programmes, afficher, modifier ou supprimer des données, ou créez de nouveaux comptes avec des droits d'utilisateur complets ».
Cette faille a été identifiée par Microsoft en tant que CVE-2020-0674. Elle touche plusieurs versions d'IE (9, 10 et 11) ainsi que différents systèmes d'exploitation (Windows 7, 8.1, 10 ou encore Windows Server 2008, 2012, 2019....). La société précise qu'Internet Explorer tourne par défaut sur Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016 et 2019 dans le mode Enhanced Security Configuration permettant de réduire le risque d'exécuter des contenus malveillants. Mais cela ne met pour autant pas ces systèmes à l'abri, loin de là. D'autant que d'après notre confrère SiliconAngle, cette vulnérabilité a d'ores et déjà été exploitée.
Restreindre l'accès à la librairie JScript.dll en attendant un patch
Pour l'heure, aucun correctif n'est attendu avant plusieurs semaines. « Microsoft est conscient de cette vulnérabilité et travaille sur un correctif. Notre politique standard consiste à publier les mises à jour de sécurité au patch tuesday, le deuxième mardi de chaque mois. Ce calendrier prévisible permet l'assurance qualité des partenaires et la planification informatique, ce qui contribue à maintenir l'écosystème Windows en tant que choix fiable et sécurisé pour nos clients », a indiqué l'éditeur. Plusieurs mesures d'urgence pour contourner cette faille, qui a fait réagir le CISA, ont été proposées par Microsoft visant en particulier à restreindre l'accès à la librairie JScript.dll pouvant cependant impacter le fonctionnement de services et composants qui y recourent.