Microsoft a corrigé en urgence une faille critique dans Internet Explorer

Publié le : 04 octobre 2019
Temps de lecture : 2 minutes

La faille permettrait au cybercriminel de s'immiscer dans un système pour le contrôler entièrement. Au vu de l'urgence de la situation, Microsoft a trouvé des solutions pour vous en protéger, nous vous les présentons dans cet article.

 

La vulnérabilité (Réf. CVE-2019-1367) découverte par Clément Lecigne (Security Engineer, Google) affecte la mémoire dans le moteur de script.
Le principe est simple : L’utilisateur consulte un email ou une page web en apparence sécurisé et il est incité à cliquer sur un lien en réalité piégé.

cybersecurity shield attack

Ce dernier mène vers une page web créée spécifiquement pour exploiter la faille d’Internet Explorer. Une fois la page ouverte, le cybercriminel a la main sur le PC. Cette vulnérabilité est présente dans pratiquement toutes les versions du navigateur pour Windows 7, Windows 8.1, et Windows 10.
Quels sont les risques ? L’utilisateur est connecté avec des droits d’administrateur lorsque le cybercriminel s’immisce dans le système. Il peut ensuite installer des programmes et afficher, modifier ou supprimer des données sans le consentement de l’utilisateur. De nouveaux comptes pourraient également être créés avec les accès de son choix.

Comment se protéger ? Microsoft préconise de se protéger en restreignant l’accès à JavaScript pour réduire la probabilité qu’un utilisateur clique sur le fameux lien piégé.
Pour en savoir plus sur les différentes menaces et les méthodes de protection pour les PME, nous vous invitons à consulter ce document édité par Microsoft: https://www.bettersoftware.fr/publication/securite-informatique-enjeu-taille-votre-pme-microsoft

cybersecurity shield microsoft patch

Malgré tout cette sécurité n'est pas fiable à 100% contre ce type de menace puisqu'elle restreint partiellement l'accès et une restriction complète serait un réel freint à la productivité de votre entreprise. Microsoft a communiqué deux solutions pour contrer immanquablement cette vulnérabilité d’Internet Explorer :

  • La première consiste à télécharger un patch émis spécifiquement pour cette faille, il se déroule en dehors du Patch Tuesday, la mise à jour mensuelle de Microsoft. La correction est une modification de la façon dont le moteur de script gère les objets en mémoire.  Les patchs sont disponibles sur le lien suivant : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367
  • La seconde solution est de migrer dès maintenant vers la nouvelle version, la vulnérabilité d’Internet Explorer précédemment citée sera automatiquement corrigée avec la mise à jour. Si vous utilisez Windows 7, notez que ce type de correctif ne sera plus disponible après la fermeture du support en 2020. En savoir plus sur la migration : https://www.bettersoftware.fr/actualite/fin-du-support-windows-7-en-2020-microsoft