La vulnérabilité du fichier d'aide de Microsoft pourrait augmenter l'impact d'une attaque de phishing pour tous les utilisateurs Windows
Les chercheurs de Comparitech ont identifié plusieurs vulnérabilités qui pourraient augmenter l'impact d'une attaque de phishing sur tous les utilisateurs de Windows exécutant jusqu'à Windows 10 inclus, bien qu'elles aient été précédemment corrigées par Microsoft.
Des vulnérabilités auraient été exploitées par le groupe d’espionnage parrainé par l’État chinois APT41.
Quelle est la solution?
Les chercheurs de Comparitech ont découvert plusieurs vulnérabilités de sécurité sur Windows 10 qui peuvent être exploitées via l'extension du fichier de documentation d'aide de Microsoft et les programmes utilisés pour les ouvrir.
Les attaquants peuvent inciter les utilisateurs Windows à télécharger et à ouvrir des fichiers malveillants via, par exemple, un lien de courrier électronique ou une pièce jointe. Le programme par défaut de Windows utilisé pour ouvrir ces fichiers exécutera le code stocké dans le fichier, qui pourra être utilisé pour lancer une attaque.
La documentation d'aide sur un appareil Windows était initialement stockée dans des fichiers HTML compilés (CHM), désignés par le.chmextension de fichier.
Lorsque vous cliquiez sur l'option « Aide » dans un programme, celui-ci chargerait la documentation d'aide dans une visionneuse similaire à un navigateur Web complet avec une recherche, un index et d'autres outils de navigation.
Microsoft considère désormais les fichiers .chm comme potentiellement dangereux. En fait, ils sont bloqués par Outlook, le client de messagerie de Microsoft.
Mais il existe un programme sur presque toutes les machines Windows qui ouvre encore les fichiers .chm, et c'est là que nos chercheurs ont concentré leur enquête. Un programme appeléAide HTML, qui s'exécute sous le nom du processushh.exe, peut ouvrir et exécuter des fichiers CHM. Sauf si vous avez modifié vos programmes par défaut, lorsque vous cliquez sur un fichier CHM, HtmlHelper l'ouvrira et le restituera à l'aide d'Internet Explorer 7.
Les attaquants peuvent placer du contenu malveillant dans un fichier CHM et inciter les victimes à l'ouvrir. HtmlHelper contient plusieurs vulnérabilités et contourne de nombreuses politiques de sécurité de Windows 10, selon nos recherches. Les chercheurs ont confirmé que ces attaques fonctionnent sur tous les systèmes d'exploitation Windows modernes, y compris la dernière version de Windows 10 au moment de la rédaction de cet article.
Quelle est la menace ?
Les attaquants pourraient se connecter à distance à votre PC Windows et bénéficier d’un accès illimité. Dans le pire des cas, cela pourrait signifier des cybercriminels…
- Parcourez vos dossiers personnels et professionnels – vous exposant au vol d’identité, au chantage ou sextorsion
- Utiliser rançongiciel pour t'enfermer dehors
- Installez des logiciels malveillants tels qu'un enregistreur de frappe pour potentiellement déverrouiller l'accès à des services tels que vos services bancaires en ligne.
- Détournez votre machine et utilisez-la à des fins néfastes telles que cryptojacking
- Lancez d'autres attaques au sein de votre réseau et distribuez des logiciels malveillants à vos contacts
Les pirates informatiques abusent-ils des fichiers HtmlHelper et CHM ?
Oui!
Les fichiers CHM malveillants ont été utilisés par plusieurs grands groupes de piratage et organisations de menaces persistantes avancées (APT).
L’APT41 de Chine a notamment ciblé des organisations dans au moins 14 pays. Il s'agit d'un acteur menaçant parrainé par l'État qui utilise régulièrement le spear phishing et les fichiers CHM infectés pour compromettre les victimes . Leurs cibles incluent les secteurs de la santé, des télécommunications et de la haute technologie, et leur objectif est souvent de voler la propriété intellectuelle.
Il ne s’agit pas seulement de grands groupes de hackers et de cibles de premier plan ; l’utilisation de fichiers CHM malveillants est bien documentée.
Un typique tentative de spear phishing serait un e-mail avec un fichier CHM malveillant en pièce jointe.
Qu'a fait Microsoft ?
Microsoft bloque désormais les fichiers CHM dans son client de messagerie Outlook et reconnaît qu'ils sont dangereux. Mais les fichiers CHM sont toujours ouverts par HtmlHelper par défaut dans la plupart des systèmes d'exploitation Windows modernes, y compris la dernière version de Windows 10 au moment de la rédaction.
Microsoft patché en 2014, certaines des vulnérabilités qui permettent aux pirates informatiques d'utiliser les fichiers CHM pour l'exécution de code à distance. Ces actions incluent le blocage d'ActiveX et l'interdiction d'ouvrir les fichiers CHM à partir d'Edge ou d'Internet Explorer. Cependant, nos chercheurs ont constaté qu’ils étaient toujours capables de reproduire les exploits qui, selon Microsoft, avaient été corrigés.
Microsoft a déclaré aux chercheurs de Comparitech que la vulnérabilité HtmlHelper qu'ils ont signalée « ne répond pas à la définition d'une vulnérabilité de sécurité pour la maintenance ». Lorsque Comparitech a demandé pourquoi c'était le cas, un porte-parole de Microsoft a répondu par la déclaration suivante :
« Le problème décrit ne répond pas à nos critères de maintenance car il repose sur l'ingénierie sociale ou sur un appareil déjà compromis. Nous encourageons nos clients à adopter de bonnes habitudes informatiques en ligne, notamment en faisant preuve de prudence lorsqu'ils cliquent sur des liens vers des pages Web, ouvrent des fichiers inconnus ou acceptent des transferts de fichiers.
Comment les utilisateurs de Windows peuvent-ils se protéger ?
N'ouvrez pas les fichiers CHM que vous ne reconnaissez pas.
Les chercheurs suggèrent fortement aux organisations de supprimer hh.exe (HtmlHelper) de toutes les machines client et serveur.
Si vous pensez qu'un fichier CHM n'est pas malveillant, vous pouvez d'abord le décompiler pour lire le contenu avant de l'ouvrir normalement. Utilisez cette commande :
|_+_|Informations techniques supplémentaires
Les attaques de validation de principe que notre équipe de recherche a pu reproduire sur une machine Windows 10 entièrement mise à jour incluent :
- Fuite de hachage NTLM
- Exécution de code à distance
- Contourner les politiques du système pour télécharger des fichiers de tiers
… et plusieurs autres.
Pour reproduire les attaques, les chercheurs ont créé des fichiers CHM malveillants en utilisant ce tutoriel sur Github .
Les chercheurs de Comparitech ont signalé à Microsoft plusieurs vulnérabilités liées au CHM trouvées dans HtmlHelper sur Windows 10. Les chercheurs ont réalisé des exploits de validation de principe sur toutes les vulnérabilités suivantes :
Fuite de hachage NTLM
NTLM, ou NTHash, est la façon dont Windows crypte et stocke les mots de passe sur les PC. Un hachage du mot de passe est stocké plutôt que le mot de passe en texte brut. Normalement, pour se connecter à Windows, l'utilisateur saisit son mot de passe, Windows le hache à l'aide de NTLM et si le résultat correspond au hachage stocké sur le système, l'utilisateur est authentifié et connecté.
Une fuite de hachage NTLM se produit lorsque l'un de ces hachages est volé. Les attaquants peuvent ensuite utiliser le hachage pour s'authentifier et élever leurs privilèges. Les hachages peuvent également être utilisés dans des attaques par passe de hachage dans lesquelles l'attaquant authentifie un serveur ou un service distant avec le hachage du mot de passe de l'utilisateur au lieu de saisir le texte en clair.
Les chercheurs ont découvert que les pirates peuvent voler des hachages à l'aide de HtmlHelper, qui restitue le contenu dans Internet Explorer 7. IE7 n'a pas été mis à jour depuis plus d'une décennie, mais il s'agit de l'option par défaut utilisée par HtmlHelper et ne peut pas être modifiée. Il n’a pas de prévention des fuites de hachage.
Les chercheurs ont reproduit l'attaque en utilisant un fichier CHM infecté. Ils ont utilisé HtmlHelper sur le fichier pour exposer le hachage NTLM. Les chercheurs ont ensuite pu soit intercepter le hachage, soit l'envoyer à un serveur tiers.
Exécution de commandes à distance
Les attaquants peuvent exécuter n'importe quelle commande malveillante sur la machine cible à l'aide d'un fichier .htm infecté. Le fichier .htm est converti en CHM, qui exécute les commandes sans aucune approbation supplémentaire de l'utilisateur.
Les chercheurs ont lancé l’application de calcul via un fichier CHM comme preuve de concept :
ActiveX
ActiveX, un framework logiciel créé par Microsoft, est obsolète depuis longtemps. Mais comme HtmlHelper restitue tout dans Internet Explorer 7, il prend toujours en charge ActiveX.
Les chercheurs pouvaient exécuter n'importe quelle commande de base sur ActiveX sans l'approbation de l'utilisateur. Même si des avertissements de sécurité apparaissaient dans certains cas, les utilisateurs pouvaient simplement cliquer surOuicontinuer.
Lorsqu'il était encore utilisé, ActiveX permettait aux sites Web d'intégrer des vidéos et des jeux et de permettre aux utilisateurs d'interagir avec certains types d'éléments du navigateur, tels que les barres d'outils. Mais Microsoft déconseille désormais fortement l'utilisation d'ActiveX, car ses vulnérabilités peuvent être utilisées pour voler des données, installer des logiciels malveillants ou pirater un appareil à distance.