UNE ANCIENNE VULNÉRABILITÉ DE MICROSOFT ACTIVEMENT EXPLOITÉE
CVE-2012-0158
CVSSv3 9.3
Sources
https://technet.microsoft.com/en-us/library/security/ms12-027
https://technet.microsoft.com/en-us/library/security/ms12-060
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2012-0158-exploit-in-the-wild/
https://thehackernews.com/2020/04/ransomware-hospitals-coronavirus.html
Risques
La vulnérabilité permet à un attaquant d'exécuter du code arbitraire sur le système cible.
L'exploitation réussie de cette vulnérabilité donne la possibilité d'installer d'autres logiciels malveillants.
Remarque : cette vulnérabilité a récemment été vue utilisée en conjonction avec du phishing basé sur le COVID-19 et est toujours activement exploitée.
Description
Cette faiblesse est due à un débordement de mémoire tampon dans la pile d’exécution en particulier pour les contrôles ActiveX ListView et TreeView dans MSCOMCTL.OCX. Un acteur malveillant peut créer à distance une pièce jointe ou une page web spécialement conçue pour permettre le débordement de mémoire tampon et exécuter le code arbitraire avec les privilèges de l'utilisateur actuel.
En raison de la vulnérabilité existant depuis 2012, nous constatons que de nombreux acteurs malveillants fournissent des kits d'exploitation pour tirer parti de cette faiblesse. Il s'agit encore aujourd'hui d'une technique largement utilisée pour installer des logiciels malveillants et même des ransomwares sur des systèmes utilisant ces anciennes configurations et logiciels.
Pour plus d'informations sur les configurations vulnérables, veuillez vous référer à :
Actions recommandées
CERT.be recommande d'installer la mise à jour à partir du site web du fournisseur et, en général, de garder vos solutions Office et Anti-Virus à jour.
Les mises à jour recommandées par Microsoft sont disponibles ici :
https://technet.microsoft.com/en-us/library/security/ms12-027
https://technet.microsoft.com/en-us/library/security/ms12-060