Une faille zero-day dans la gestion des liens hypertexte peut résulter dans une exécution de code arbitraire. Pourtant, Microsoft qu’il n’y pas le feu au lac et attendra la prochaine version majeure de Windows pour distribuer un correctif.
Si vous êtes un grand utilisateur de vCard, méfiance ! Le chercheur en sécurité John Page vient de révéler une faille dans la gestion de ces cartes de visite numériques sur Windows. Comme on peut le voir dans une vidéo de démonstration, il est possible d’insérer dans le champ « Site web » d’une vCard une référence vers un fichier exécutable local qui, si l’utilisateur clique sur le lien, sera directement exécuté, sans aucune alerte préalable. En effet, la fenêtre pop-up que l’on voit apparaître dans la vidéo (« Continue to install ? ») n’est pas une alerte provenant du système Windows, mais fait déjà partie du fichier exécutable.
Le scénario d’attaque imaginé par le chercheur en sécurité repose donc sur deux fichiers : la vCard vérolée et le malware proprement dit. Pour que le hack fonctionne, il faut que ce dernier soit positionné dans un dossier baptisé « http » qui se trouve lui-même directement à côté de la vCard (i.e. la vCard et le dossier « http » se trouvent dans le même dossier). Ceci permet à l’attaquant de créer un hyperlien qui ressemble de loin à un lien HTML (« http.\\www.hyp3rlinx.altervista.cpl »), mais qui est en réalité un lien Windows.
Toute la difficulté pour l’attaquant est évidemment de faire en sorte que la victime télécharge ces deux fichiers. Pour sa part, Microsoft n’a pas estimé que ce risque était critique. L’éditeur a validé la démonstration de John Page, mais a décidé de ne pas développer de patch dans l’immédiat. Toutefois, la brèche devrait être corrigée pour la prochaine mise à jour majeure de Windows 10, prévue pour mars prochain (build 1903). D’ici là, il vaut mieux bien regarder les liens d’une vCard avant de cliquer dessus.