Il est 2023 et WordPad de Microsoft peut être exploité pour pirater des systèmes vulnérables.

Mardi, Microsoft a publié plus de 100 mises à jour de sécurité pour corriger des failles dans ses produits, y compris deux bogues qui sont déjà sous attaque active, ainsi que pour corriger une faiblesse HTTP/2 qui a également été exploitée dans la nature. Ce dernier – suivi comme CVE-2023-44487 aka Rapid Reset – est une vulnérabilité du protocole HTTP/2 qui a été abusée depuis août pour lancer des attaques de déni de service distribuées massives (DDoS). Microsoft, Amazon, Google et Cloudflare ont tous publié des contre-mesures pour ces attaques par réinitialisation rapide du serveur. Mais revenons aux vulnérabilités CVE spécifiques à Microsoft qui sont répertoriées comme étant publiquement connues et exploitées. CVE-2023-36563 est un bogue de divulgation d’informations dans Microsoft WordPad qui peut être exploité pour voler des hachages NTLM. Il existe deux manières d’exploiter cela, selon Microsoft. La première consiste à se connecter en tant qu’utilisateur rogue ou compromis, puis « à exécuter une application spécialement conçue qui pourrait exploiter la vulnérabilité et prendre le contrôle d’un système affecté ». L’autre consiste à tromper une victime en ouvrant un fichier malveillant. « L’attaquant devrait convaincre l’utilisateur de cliquer sur un lien, généralement sous la forme d’un appât dans un e-mail ou un message instantané, puis de le convaincre d’ouvrir le fichier spécialement conçu », a expliqué Redmond. En plus de l’application du correctif logiciel, Dustin Childs de Zero Day Initiative suggère également aux utilisateurs de bloquer le NTLM-over-SMB sortant sur Windows 11. « Cette nouvelle fonction n’a pas reçu beaucoup d’attention, mais elle pourrait considérablement entraver les exploits de relais NTLM », a écrit Childs.