Microsoft a alerté sur l’existence d’une une faille Zero-Day d’exécution de code à distance activement exploitée qui affecte Internet Explorer en utilisant des documents Office malveillants.

Référencée en CVE-2021-40444 (score CVSS : 8.8), la faille se trouve dans MSHTML un moteur de navigateur propriétaire pour Internet Explorer, utilisé dans Office pour afficher le contenu Web dans les documents Word, Excel et PowerPoint.

"Microsoft enquête sur les rapports faisant état d'une vulnérabilité d'exécution de code à distance dans MSHTML qui affecte Microsoft Windows. Microsoft a connaissance d'attaques ciblées qui tentent d'exploiter cette vulnérabilité en utilisant des documents Microsoft Office spécialement conçus", a déclaré la société.

"Un attaquant pourrait créer un contrôle ActiveX malveillant qui serait utilisé par un document Microsoft Office hébergeant le moteur de rendu du navigateur. L'attaquant devrait alors convaincre l'utilisateur d'ouvrir le document malveillant. Les utilisateurs dont les comptes sont configurés pour avoir des droits limités sur le système pourraient être moins affectés que les utilisateurs qui fonctionnent avec des droits d’administrateurs", ajoute-t-il.

Toutefois, il convient de souligner que l'attaque actuelle peut être mitigée si Microsoft Office est exécuté avec les configurations par défaut, dans lesquelles les documents téléchargés à partir du Web sont ouverts dans Protected View ou Application Guard for Office, qui est conçu pour empêcher les fichiers non fiables d'accéder aux ressources de confiance dans le système hôte.

En attendant la publication du correctif, le fabricant de Windows demande instamment aux utilisateurs et aux organisations de désactiver tous les contrôles ActiveX dans Internet Explorer afin d'atténuer toute attaque potentielle.