Il est 2023 et Microsoft WordPad peut être exploité pour pirater des systèmes vulnérables.

Le mardi Patch Microsoft a publié plus de 100 mises à jour de sécurité pour corriger des failles dans ses produits, y compris deux bogues qui sont déjà sous attaque active, ainsi que pour aborder une faiblesse HTTP/2 qui a également été exploitée dans le monde réel. Ce dernier – suivi sous CVE-2023-44487 alias Rapid Reset – est une vulnérabilité du protocole HTTP/2 qui a été abusée depuis août pour lancer des attaques de déni de service distribuées massives (DDoS). Microsoft, Amazon, Google et Cloudflare ont tous publié des contournements pour ces attaques «Rapid Reset» qui mettent les serveurs hors service. Mais revenons aux CVE spécifiques à Microsoft qui sont répertoriés comme étant connus et exploités publiquement. CVE-2023-36563 est une faille de divulgation d’informations dans Microsoft WordPad qui peut être exploitée pour voler des hachages NTLM. Il existe deux façons d’exploiter cela, selon Microsoft. Une façon est de vous connecter en tant qu’utilisateur rogue ou compromise, puis «d’exécuter une application spécialement conçue qui pourrait exploiter la vulnérabilité et prendre le contrôle d’un système affecté». L’autre façon est de tromper une victime pour qu’elle ouvre un fichier malveillant. «L’attaquant devrait convaincre l’utilisateur de cliquer sur un lien, généralement au moyen d’une incitation dans un e-mail ou un message instantané, puis de le convaincre d’ouvrir le fichier spécialement conçu», a expliqué Redmond. En plus de l’application de la solution logicielle, Dustin Childs de Zero Day Initiative suggère également aux utilisateurs de bloquer les transferts sortants NTLM-over-SMB sur Windows 11. «Cette nouvelle fonctionnalité n’a pas reçu beaucoup d’attention, mais elle pourrait considérablement entraver les exploits NTLM-relay», a écrit Childs.