Une vulnérabilité zero-day découverte dans Internet Explorer
HD Moore, auteur du logiciel de pénétration Metasploit, invite les utilisateurs à se séparer temporairement des navigateurs web IE7, IE8 et IE9. En effet, les pirates exploitent actuellement une vulnérabilité zero-day dans Internet Explorer. Microsoft a promis un patch.
La nouvelle est rude pour Microsoft. Mais si la firme de Redmond affirme avoir ouvert une enquête basée sur des rapports de bogue, aucun calendrier pour une éventuelle réparation de la faille n'a encore été fixé. Elle a promis de développer rapidement un correctif. Selon la firme de sécurité Rapid7, le bug non corrigé dans IE7, IE8 et IE9 peut être exploité sous Windows XP, Vista et Windows 7.
Les experts incitent donc les utilisateurs d'IE à abandonner le navigateur. "Etant donné que Microsoft n'a pas encore publié de correctif pour cette vulnérabilité, les utilisateurs sont vivement invités à passer à d'autres navigateurs, tels que Google Chrome ou Mozilla Firefox, jusqu'à ce qu'une mise à jour de sécurité soit disponible" déclare ainsi la firme dans un billet de blog. Mais éviter le navigateur pourrait ne pas être suffisant, de nombreuses applications s'appuyant sur le moteur d'IE pour le contenu HTML.
Un groupe de hackers bien connu des experts en sécurité
Eric Romang, contributeur fréquent à Metasploit, serait tombé sur l'exploit IE alors qu'il sondait l'un des serveurs opéré par le gang de hackers "Nitro" qui avait déjà utilisé la faille zero-day Java d'Oracle le mois dernier. Le gang Nitro a été découvert en juillet 2011, lorsque Symantec avait repéré le groupe dans une attaque qui avait ciblé un nombre inconnu d'entreprises et infecté au moins 48 d'entre elles, dont beaucoup officient dans l'industrie chimique, de pointe et les de la Défense. Si Symantec est finalement parvenu à la conclusion que les membres de Nitro opèrent depuis la Chine, les autorités du pays ont d'ores et déjà nié avoir participé aux attaques.
Les attaques d'août 2012 exploitant la faille non corrigée de Java avaient poussé Oracle à émettre une de ses rares mise à jour "out-of-band». Apple avait également émis un correctif pour Java 6, la version utilisée par OS X Snow Leopard et OS Lion, pour protéger ses utilisateurs.
IE10 probablement touché par la faille
Si on ignore pour l'instant si la vulnérabilité trouvée est présente dans IE10, le navigateur fourni avec Windows 8, HD Moore, chef de la sécurité chez Rapid7 et créateur de Metasploit, a déclaré que lui et son équipe n'avaient pas encore testé IE10 sur Windows 8. Toutefois, l'homme pencherait pour une réponse affirmative.
Moore a hésité à confirmer la responsabilité du groupe Nitro et a préféré comme Romang déclarer que d'autres possibilités existaient. "Plusieurs groupes peuvent partager ces failles et même se les transmettre à d'autres quand il a fini de l'utiliser", a-t-il dit. Il est également possible que le serveur web qui héberge le code de l'exploit IE ne soit tout simplement qu'un dépotoir, a ajouté M. Moore.
"Peut-être que l'exploit IE a été mis sur ce serveur parce que les agresseurs ont déjà profité de celui-ci", spécule Moore. "Une façon de brouiller les pistes est de s'assurer qu'un exploit a été largement distribué une fois que vous n'en avez plus besoin".
Le prochain Patch Tuesday est prévue pour le 9 octobre, soit dans plus de trois semaines à compter d'aujourd'hui. Microsoft a toutefois la possibilité de fournir un patch avant. "Je pense que l'émission d'un patch dépendra en grande partie de ce que la firme aura à déclaré via l'alerte," a déclaré Andrew Storms, directeur des opérations chez Ncircle. Si Microsoft s'en tient à son procédé face aux failles zéro-day, la firme devrait faire publier un avis de sécurité aujourd'hui ou demain avec plus d'informations.
