dynastart
Member
- Joined
- Oct 20, 2013
- Messages
- 1,927
- Reaction score
- 11
- Points
- 232
Offline
- Thread starter
- #1
Microsoft a confirmé hier soir une faille de type 0day dans les versions 9 et 10 de son navigateur Internet Explorer. La vulnérabilité est déjà exploitée et tandis que la firme travaille à un correctif, elle recommande que ceux qui le peuvent de migrer vers Internet Explorer 11, qui n’est pas concerné.
Une faille déjà exploitée
La faille a été découverte par FireEye dans le site vfw.org, consacré aux « Veterans of Foreign Wars ». Selon les recherches effectuées, le site a été compromis par les pirates qui ont pu ainsi y glisser un élément iframe pour faire appel à une page située sur un autre site. C’est cette dernière qui contenait l’attaque proprement dite. Une fois la faille exploitée, le système de la victime recevait un malware.
Pour être plus précis, la page appelée depuis l’élément iframe contenait un objet Flash. La technologie d’Adobe n’est pas en cause mais l’objet était utilisé pour déclencher l’exploitation de la faille via ActionScript. Initialement, la faille n’a été démontrée que pour Internet Explorer 10, qu’on ne trouve que sous Windows 7 et 8. Notez que FireEye indiquait ne pas savoir quel site était exactement appelé par l’élément iframe mais une autre société de sécurité, Seculert, a fini par apporter cette précision : aliststatus.com.
Un certain degré de sophistication
Pour FireEye, ceux qui se tiennent derrière cette attaque sont probablement les mêmes qui ont réalisé deux autres opérations basées sur des failles 0day. Il s’agit clairement de pirates expérimentés car l’exploitation de la faille passe par la modification d’une donnée résidant dans une adresse mémoire bien précise. Or, ce type d’opération est rendu quasiment impossible par la gestion du mécanisme ASLR (Address Space Layout Randomization) qui, comme son nom l’indique, fait en sorte que les éléments importants d’un logiciel ne résident jamais au même endroit en mémoire. FireEye explique que les pirates ont donc réussi à contourner ce mécanisme, qu’on retrouve d’ailleurs dans la majorité des navigateurs aujourd’hui.
FireEye a nommé l’opération « SnowMan » et pense que les similitudes avec d’autres opérations (« Deputy Dog » et « Ephemeral Hydra ») sont assez troublantes. Par exemple, le téléchargement du malware commence par un fichier JPG dont la fin contient effectivement la partie nocive. C’est cette dernière qui fait appel au code Flash, qui à son tour va déclencher le téléchargement du malware lui-même. D’autres éléments sont semblables pour FireEye : l’utilisation d’une faille 0day pour récupérer un cheval de Troie, l’utilisation de pages web compromises comme vecteur d’attaque ou encore l’utilisation d’un déclencheur déguisé en image au format JPG.
Ces différentes attaques ont permis aux pirates d’infecter des machines qui n’ont pas grand-chose à voir avec l’ordinateur de monsieur Tout le monde. Des postes ont ainsi été infectés dans des entités du gouvernement américain, des firmes japonaises, des entreprises militaires, des cabinets d’avocats ou encore de grandes sociétés technologiques. Autant de cibles qui laissent à penser que l’objectif global est le vol d’informations.
Migrer vers Internet Explorer 11 si possible
Interrogée au sujet de cette faille, Microsoft a répondu qu’elle était au courant d’une « attaque limitée et très ciblée contre Internet Explorer 9 et 10 » confirmant d’ailleurs à ce moment-là que la version plus ancienne était elle aussi touchée. La firme a également indiqué que durant l’enquête sur la faille et le développement d’un correctif adapté, les utilisateurs pouvaient migrer vers Internet Explorer 11. À ceci près que même si cette version (celle apparue avec Windows 8.1) est effectivement disponible pour Windows 7 et 8, elle ne l’est pas pour Vista par exemple.
Concernant les utilisateurs qui ne pourraient pas migrer vers Internet Explorer 11, la solution est relativement simple : utiliser un autre navigateur tel que Firefox ou Chrome, le temps que Microsoft corrige le tir. Notez d’ailleurs que l’éditeur n’a fourni aucun calendrier pour le correctif. Puisque la faille est déjà exploitée, il se pourrait qu’un sparadrap numérique soit diffusé en dehors du cycle mensuel classique.
Une faille déjà exploitée
La faille a été découverte par FireEye dans le site vfw.org, consacré aux « Veterans of Foreign Wars ». Selon les recherches effectuées, le site a été compromis par les pirates qui ont pu ainsi y glisser un élément iframe pour faire appel à une page située sur un autre site. C’est cette dernière qui contenait l’attaque proprement dite. Une fois la faille exploitée, le système de la victime recevait un malware.
Pour être plus précis, la page appelée depuis l’élément iframe contenait un objet Flash. La technologie d’Adobe n’est pas en cause mais l’objet était utilisé pour déclencher l’exploitation de la faille via ActionScript. Initialement, la faille n’a été démontrée que pour Internet Explorer 10, qu’on ne trouve que sous Windows 7 et 8. Notez que FireEye indiquait ne pas savoir quel site était exactement appelé par l’élément iframe mais une autre société de sécurité, Seculert, a fini par apporter cette précision : aliststatus.com.
Un certain degré de sophistication
Pour FireEye, ceux qui se tiennent derrière cette attaque sont probablement les mêmes qui ont réalisé deux autres opérations basées sur des failles 0day. Il s’agit clairement de pirates expérimentés car l’exploitation de la faille passe par la modification d’une donnée résidant dans une adresse mémoire bien précise. Or, ce type d’opération est rendu quasiment impossible par la gestion du mécanisme ASLR (Address Space Layout Randomization) qui, comme son nom l’indique, fait en sorte que les éléments importants d’un logiciel ne résident jamais au même endroit en mémoire. FireEye explique que les pirates ont donc réussi à contourner ce mécanisme, qu’on retrouve d’ailleurs dans la majorité des navigateurs aujourd’hui.
FireEye a nommé l’opération « SnowMan » et pense que les similitudes avec d’autres opérations (« Deputy Dog » et « Ephemeral Hydra ») sont assez troublantes. Par exemple, le téléchargement du malware commence par un fichier JPG dont la fin contient effectivement la partie nocive. C’est cette dernière qui fait appel au code Flash, qui à son tour va déclencher le téléchargement du malware lui-même. D’autres éléments sont semblables pour FireEye : l’utilisation d’une faille 0day pour récupérer un cheval de Troie, l’utilisation de pages web compromises comme vecteur d’attaque ou encore l’utilisation d’un déclencheur déguisé en image au format JPG.
Ces différentes attaques ont permis aux pirates d’infecter des machines qui n’ont pas grand-chose à voir avec l’ordinateur de monsieur Tout le monde. Des postes ont ainsi été infectés dans des entités du gouvernement américain, des firmes japonaises, des entreprises militaires, des cabinets d’avocats ou encore de grandes sociétés technologiques. Autant de cibles qui laissent à penser que l’objectif global est le vol d’informations.
Migrer vers Internet Explorer 11 si possible
Interrogée au sujet de cette faille, Microsoft a répondu qu’elle était au courant d’une « attaque limitée et très ciblée contre Internet Explorer 9 et 10 » confirmant d’ailleurs à ce moment-là que la version plus ancienne était elle aussi touchée. La firme a également indiqué que durant l’enquête sur la faille et le développement d’un correctif adapté, les utilisateurs pouvaient migrer vers Internet Explorer 11. À ceci près que même si cette version (celle apparue avec Windows 8.1) est effectivement disponible pour Windows 7 et 8, elle ne l’est pas pour Vista par exemple.
Concernant les utilisateurs qui ne pourraient pas migrer vers Internet Explorer 11, la solution est relativement simple : utiliser un autre navigateur tel que Firefox ou Chrome, le temps que Microsoft corrige le tir. Notez d’ailleurs que l’éditeur n’a fourni aucun calendrier pour le correctif. Puisque la faille est déjà exploitée, il se pourrait qu’un sparadrap numérique soit diffusé en dehors du cycle mensuel classique.