Amusante découverte, que celle que Jerry Bryant nous dévoile sur le blog du MSRC : un double problème affectant Internet Explorer et win32hlp (fichiers d’aide) permettrait à un attaquant, via une page Web forgée, de compromettre la machine d’un internaute de passage en le convainquant d’appuyer sur la touche F1 de sa machine. Un fichier .hlp est une sorte d’exécutable capable de lancer des actions automatiques. Le reste du communiqué laisse également entendre que cette attaque doit être prise très au sérieux, car de « dangereux irresponsables » n’auraient pas respecté les règles de divulgation souhaitées par Microsoft. Il ne faut pas chercher très loin pour découvrir qu’en effet, cette faille et son exploitation ont été signalées par Maurycy Prodeus sur le site Polonais Isec. L’explication théorique et la preuve de faisabilité montrent à quel point le principe de fonctionnement de cette attaque est simple et efficace. A noter que les machines 64 bits ne sont pas affectées par ce PoC très précis, et qu’aucune exploitation « dans la nature » n’a encore été relevée… pour l’instant.
Un bulletin d’alerte a été, depuis, émis sur les canaux Technet. Deux méthodes de contournement sont proposées, l’une d’entre elles recommandant de… ne pas utiliser la touche F1 et de n’appeler l’aide sous aucun prétexte lors d’une navigation sur Internet. La seconde est plus réaliste, et consiste à modifier les ACL à l’aide de l’ordre
echo Y | cacls "%windir%\winhlp32.exe" /E /P everyone:N
Las, cette fois, c’est la totalité de l’aide qui est supprimée. En attendant l’arrivée d’un véritable exploit, il est peut-être plus sage d’attendre et de voir venir.
1 commentaire