La vulnérabilité Windows CVE-2021-40444 n’a pas fini de faire parler d’elle

Annoncée le 7 septembre comme « 0 day » par Microsoft, la vulnérabilité CVE-2021-404441 affecte le moteur de rendu HTML de Microsoft, MSHTML, également connu sous le nom de Trident2. Ce moteur est apparu en 1997 avec la version 4 d’Internet Explorer. Il est également utilisé par d’autres applications Microsoft telles qu’Outlook, la suite Microsoft Office ou encore l’explorateur de fichiers Windows. Comme le signale le CERT-FR de l’ANSSI dans son alerte sur le sujet3, Microsoft indique bien dans son bulletin que la vulnérabilité est activement exploitée. Des indicateurs de compromission en lien avec la vulnérabilité ont été rapidement identifiés et diffusés, comme sur le site d’Elastic Search notamment4. Parmi ces indicateurs, on retrouve un fichier Word, une archive de type CAB5 et une DLL de type Beacon Cobalt Strike6. Ces fichiers ont été largement diffusés sur des plateformes de partage de « malwares », comme Virus Total7, par exemple. Le fichier HTML contenant le JavaScript permettant d’exploiter la vulnérabilité CVE-2021-40444, appelé par le fichier Word est assez facile à retrouver. À partir de ce moment, nous pouvons considérer que la vulnérabilité est connue publiquement, et qu’elle va continuer d’être largement exploitée dans les semaines et mois à venir, d’autant plus qu’elle est assez facile à reproduire et que de nombreux POCs et tutoriels ont été diffusés sur le Web.