IE8 visé par une attaque exploitant une faille 0 Day

le 06/05/2013, par Jean Elyan avec IDG News Service, Sécurité, 870 mots

Des experts en sécurité ont découvert une faille zero day dans IE 8. Ils soupçonnent des hackers chinois de mettre à profit cette vulnérabilité pour cibler des chercheurs travaillant sur les armes nucléaires.

IE8 visé par une attaque exploitant une faille 0 Day

Selon plusieurs entreprises de sécurité, une faille de type zero day dans IE 8 a été utilisée de manière active dans des attaques dites de « watering hole » (trou d'eau), contre le Ministère américain du Travail et le Ministère américain de l'Énergie. Pour ce dernier, l'offensive a ciblé des personnes impliquées dans la recherche sur les armes nucléaires. Vendredi, Microsoft a publié un bulletin de sécurité reconnaissant cette faille. Dans son avis, l'éditeur précise que d'autres versions d'Internet Explorer, en particulier les dernières versions IE9 et IE10, ne sont pas affectées par cette faille, et qu'il prépare une mise à jour pour corriger le problème, sans dire à quel moment il compte livrer son patch. Selon le calendrier actuel, la prochaine mise à jour de sécurité prévue par Microsoft est programmée lors du Patch Tuesday, le14 mai.

Un diagnostic commun

Mercredi, l'entreprise de sécurité Invincea basée à Fairfax, Virginie, et d'autres, ont commencé par dire que les attaques « watering hole » menées par des cybercriminels exploitaient une vulnérabilité dans IE8 que Microsoft avait déjà corrigée en janvier dernier. Mais vendredi, Invincea a rectifié son analyse, déclarant que la vulnérabilité utilisée n'était finalement pas connue de Microsoft. « Il semble que l'exploit visant le site du Ministère du Travail exploite une faille zero-day n'affectant qu'Internet Explorer 8 (IE8). « L'attaque s'appuie sur une vulnérabilité use-after-free memory, - elle permet à un pirate d'utiliser des données après la libération de l'espace mémoire - pour exécuter du code malveillant à distance », a déclaré dans un blog Eddie Mitchell, ingénieur en sécurité chez Invincea. L'entreprise de sécurité de Fairfax a revu son analyse après avoir reproduit l'attaque d'un PC sous Windows XP exécutant une copie entièrement corrigée d'IE8 par le patch livré par Microsoft il y a près de trois mois. La faille incriminée était identifiée CVE-2012-4792  dans la base de données Common Vulnerabilities and Exposure.

Dans le même temps, FireEye a livré le même diagnostic, affirmant qu'après vérification, IE8 sous Windows 7 était vulnérable. Parmi les cinq navigateurs de Microsoft - de IE6 à IE10 -, IE8 est l'un des navigateurs les plus utilisés. Il détenait 41 % de part de marché de tous les navigateurs de Microsoft dénombrés en ligne au mois d'avril. L'éditeur a confirmé que toutes les versions d'IE8, sous XP, Vista et Windows 7, présentaient un risque. Quand la nouvelle de ces attaques « watering hole » a été connue - le nom évoque le fait que le code d'attaque est placé sur les sites fréquentés par les utilisateurs visés - Invincea et d'autres entreprises de sécurité ont déclaré que celles-ci avaient été conçues pour infecter des ordinateurs gouvernementaux avec l'outil d'administration à distance Poison Ivy, ou un RAT. Poison Ivy est un morceau de malware bien connu, souvent utilisé par les voleurs d'informations pour siphonner des documents confidentiels et autres fichiers sur les réseaux d'entreprise et ceux des administrations.

Des hackers chinois soupçonnés, des recherches nucléaires visées

Des hackers chinois soupçonnés, des recherches nucléaires visées

Les entreprises de sécurité soupçonnent des hackers chinois. Selon elles, ces attaques ressemblent aux attaques menées en 2012 contre le Council on Foreign Relations (CFR) et des dissidents chinois. Elles cherchaient à infecter les internautes visitant le site du CFR à la fin de l'année dernière. Microsoft avait été obligée de livrer une mise à jour d'urgence le 14 janvier pour son navigateur. L'entreprise de sécurité Invincea est celle qui a donné le plus de détails sur l'attaque, faisant remarquer que le site web infecté du Ministère du Travail contenait la liste des « maladies liées à l'activité nucléaire dans les installations concernées et les niveaux de toxicité de chaque lieu susceptible d'employer des personnes travaillant au développement d'armes atomiques ». Elle conclut que les objectifs réels étaient de viser les employés du ministère de l'Énergie ou les fonctionnaires ayant travaillé dans les programmes d'armement nucléaire de l'agence.

« La vulnérabilité zero-day identifiée dans IE8 concerne tous ceux qui utilisent le navigateur et pas uniquement les employés du gouvernement qui ont été ciblés » », a déclaré Eddie Mitchell d'Invincea, « Avec cet exploit dans la nature, le risque potentiel de dommages est élevé », a-t-il écrit dans le blog, recommandant aux utilisateurs de changer de navigateur, et d'utiliser Google Chrome ou Mozilla Firefox, jusqu'à ce que Microsoft livre son correctif. La faille pourrait être exploitée par d'autres pirates pour mener des attaques de type « drive-by » (contournement), qui sont déclenchées dès qu'un navigateur non corrigé visite un site web compromis, et peuvent infecter un grand nombre d'ordinateurs.

En attendant les correctifs

Pour l'instant, Microsoft invite les utilisateurs de Vista et de Windows 7 à passer d'IE8 à IE9 et IE10. Ceux qui tournent sous Windows XP et sont apparemment la cible des attaques « watering hole » n'ont pas cette possibilité, car ni IE9, ni IE10 ne tournent sous le système d'exploitation vieux de 12 ans. Cependant, les dernières versions de Chrome et de Firefox, peuvent fonctionner sous Windows XP. Les utilisateurs peuvent également déployer le Enhanced Mitigation Experience Toolkit (EMET) pour verrouiller IE8, et rendre l'exploitation de la faille plus difficile. EMET 3.0 ou la version bêta de EMET 4.0 peuvent être téléchargées sur le site de Microsoft.

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...