S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 20 janvier 2020
N° CERTFR-2020-ALE-006
Affaire suivie par: CERT-FR
le 20 janvier 2020

Bulletin d'alerte du CERT-FR

Objet: Vulnérabilité dans Microsoft Internet Explorer

Gestion du document

Référence CERTFR-2020-ALE-006
Titre Vulnérabilité dans Microsoft Internet Explorer
Date de la première version 20 janvier 2020
Date de la dernière version 19 février 2020
Source(s) Bulletin de sécurité Microsoft ADV200001 du 17 janvier 2020
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Internet Explorer 11 sur Windows 10
  • Internet Explorer 11 sur Windows 8.1
  • Internet Explorer 11 sur Windows RT 8.1
  • Internet Explorer 11 sur Windows 7
  • Internet Explorer 11 sur Windows Server 2019
  • Internet Explorer 11 sur Windows Server 2016
  • Internet Explorer 11 sur Windows Server 2012
  • Internet Explorer 11 sur Windows Server 2012 R2
  • Internet Explorer 10 sur Windows Server 2012
  • Internet Explorer 9 sur Windows Server 2008

Résumé

[Mise à jour du 11 février 2020]

Microsoft a publié le correctif dans le cadre du Patch Tuesday[1][2]. L'application du correctif sans délai est fortement recommandée. Le CERT-FR rappelle que si la mesure de contournement proposée par Microsoft a été appliquée, il est impératif d'en inverser les effets avant d'appliquer le correctif.

[Version initiale]

Le 17 janvier 2020, Microsoft a annoncé qu'Internet Explorer est affecté par une vulnérabilité de type 0 jour qui permet à un attaquant d'exécuter du code arbitraire à distance avec les privilèges de l'utilisateur actuel. Cette vulnérabilité, portant l'identifiant CVE-2020-0674, se situe dans la bibliothèque, intitulée JScript.dll. Cette bibliothèque permet la compatibilité avec une version obsolète de JScript.

Microsoft a également annoncé que cette vulnérabilité est activement exploitée dans le cadre d'attaques ciblées.

Pour l'instant, Microsoft n'a pas annoncé de date de publication d'un correctif.

 

Contournement provisoire

[Mise à jour du 11 février 2020]

Se référer à la section "Solution"

[Version initiale]

Dans l'attente de la disponibilité d'un correctif, le CERT-FR recommande d'utiliser un autre navigateur.

Si cela n'est pas possible, Microsoft (cf. section Documentation) propose de restreindre l'accès à JScript.dll tout en indiquant qu'une telle action peut affecter le bon fonctionnement de certains composants, notamment les scripts de configuration automatique de proxy.

Microsoft insiste sur le fait que si cette mesure de contournement est appliquée, il sera obligatoire d'en inverser les effets avant d'appliquer le correctif.

Pour les systèmes 32 bits, les commandes à entrer dans un terminal sont :

takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N

Pour les systèmes 64 bits :

takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N

Les commandes qui permettent de défaire la restriction d'accès à JScript.dll sont :

Pour les systèmes 32 bits :

cacls %windir%\system32\jscript.dll /E /R everyone

Pour les systèmes 64 bits :

cacls %windir%\system32\jscript.dll /E /R everyone 
cacls %windir%\syswow64\jscript.dll /E /R everyone

Solution

[Mise à jour du 11 février 2020]

Se référer au bulletin de sécurité de l'éditeur[1] pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 20 janvier 2020
    Version initiale
    le 11 février 2020
    publication du correctif par Microsoft
    le 19 février 2020
    Clôture de l'alerte. La clôture d'une alerte ne signifie pas la fin d'une menace. Seule l'application de la mise à jour permet de vous prémunir contre l'exploitation de la vulnérabilité correspondante.