Numéro : AL20-004
Date : 20 janvier 2020
PUBLIC
======
La présente alerte est destinée aux professionnels des TI et aux gestionnaires des organismes avisés. Les destinataires de la présente information peuvent redistribuer celle-ci au sein de leur organisme respectif.
OBJET
=====
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
APERÇU
======
Le 17 janvier 2020, Microsoft a publié un bulletin de sécurité en réaction à une vulnérabilité critique d’exploitation à distance touchant Internet Explorer 9, 10 et 11. Cette vulnérabilité peut permettre à un auteur de menace d’exécuter du code arbitraire dans le contexte de l’utilisateur actuel.
Microsoft a attribué le numéro CVE-2020-0674 à cette vulnérabilité et a déclaré qu’il travaillait sur un correctif qu’il diffusera au cours de son cycle de diffusion de février 2020.
Microsoft a également précisé que cette vulnérabilité non corrigée est exploitée activement à l’heure actuelle pour compromettre les systèmes vulnérables.
DÉTAILS
=======
Le Centre pour la cybersécurité est au courant qu’une vulnérabilité non corrigée et jusqu’alors inconnue liée à Internet Explorer est utilisée activement pour compromettre des systèmes vulnérables. Cette vulnérabilité critique pouvant être exploitée à distance touche les versions 9 à 11 d’Internet Explorer qui sont exécutées sur Microsoft Windows 7 à 10 et sur Server 2008 à 2016.
Il s’agit d’une faille dans la façon dont le moteur de script d’Internet Explorer gère les objets en mémoire. Elle peut corrompre la mémoire de façon à permettre à un auteur de menace d’exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Lorsque cet utilisateur a ouvert une session avec des droits d’administrateur, l’auteur de menace peut alors installer des programmes, visualiser, modifier ou supprimer des données, ou encore créer de nouveaux comptes dotés de droits d’accès complets.
Dans un scénario d’exploitation Web, un auteur malveillant pourrait héberger un site Web conçu spécifiquement pour exploiter cette vulnérabilité, puis inciter un utilisateur à consulter ce site en lui envoyant un courriel contenant un lien.
Comme les correctifs de cette vulnérabilité ne sont pas encore disponibles, le Centre pour la cybersécurité recommande aux responsables de systèmes de consulter la section « Atténuation » de la présente alerte pour ensuite être en mesure de protéger leurs réseaux respectifs.
ATTÉNUATION
===========
En attendant que les correctifs soient disponibles, le Centre pour la cybersécurité recommande aux responsables de systèmes d’appliquer les mesures d’atténuation que Microsoft prescrit afin de restreindre l’accès à jscript.dll. Il convient de noter que la mise en œuvre de cette mesure pourrait réduire le fonctionnement de certains composants ou de certaines fonctions qui dépendent de jscript.dll. Ces mesures de contournement recommandées sont détaillées sur le site Web de Microsoft.
https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/ADV200001
Remarque : jscript.dll est une bibliothèque permettant d’assurer la compatibilité avec une version obsolète de JScript diffusée en 2009. Bloquer l’accès à cette bibliothèque peut prévenir l’exploitation de cette vulnérabilité et d’autres vulnérabilités similaires que cette ancienne technologie peut présenter. De nos jours, lorsqu’Internet Explorer est employé pour la navigation Web, jscript9.dll est utilisé par défaut.
Le Centre pour la cybersécurité recommande également aux responsables de systèmes d’appliquer les correctifs d’usage une fois que Microsoft les aura diffusés à la mi-février.
RÉFÉRENCES
==========
Avis du 17 janvier 2020 sur le site Web de Microsoft : https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/ADV200001
NOTE AUX LECTEURS
=================
Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert et coordonne les communications d’information et l’intervention en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et resilient.