Une vulnérabilité zero-day découverte dans Internet Explorer - Actualités CSO Hacking

Une vulnérabilité zero-day découverte dans Internet Explorer

le 18/09/2012, par Adrien Geneste avec IDG NS, Hacking, 601 mots

Une vulnérabilité zero-day découverte dans Internet Explorer

HD Moore, auteur du logiciel de pénétration Metasploit, invite les utilisateurs à se séparer temporairement des navigateurs web IE7, IE8 et IE9. En effet, les pirates exploitent actuellement une vulnérabilité zero-day dans Internet Explorer. Microsoft a promis un patch.



La nouvelle est rude pour Microsoft. Mais si la firme de Redmond affirme avoir ouvert une enquête basée sur des rapports de bogue, aucun calendrier pour une éventuelle réparation de la faille n'a encore été fixé. Elle a promis de développer rapidement un correctif. Selon la firme de sécurité Rapid7, le bug non corrigé dans IE7, IE8 et IE9 peut être exploité sous Windows XP, Vista et Windows 7. 

Les experts incitent donc les utilisateurs d'IE à abandonner le navigateur. "Etant donné que Microsoft n'a pas encore publié de correctif pour cette vulnérabilité, les utilisateurs sont vivement invités à passer à d'autres navigateurs, tels que Google Chrome ou Mozilla Firefox, jusqu'à ce qu'une mise à jour de sécurité soit disponible" déclare ainsi la firme dans un billet de blog. Mais éviter le navigateur pourrait ne pas être suffisant, de nombreuses applications s'appuyant sur le moteur d'IE pour le contenu HTML.

Un groupe de hackers bien connu des experts en sécurité

Eric Romang, contributeur fréquent à Metasploit, serait tombé sur l'exploit IE alors qu'il sondait l'un des serveurs opéré par le gang de hackers "Nitro" qui avait déjà utilisé la faille zero-day Java d'Oracle le mois dernier. Le gang Nitro a été découvert en juillet 2011, lorsque Symantec avait repéré le groupe dans une attaque qui avait ciblé un nombre inconnu d'entreprises et infecté au moins 48 d'entre elles, dont beaucoup officient dans l'industrie chimique, de pointe et les de la Défense. Si Symantec est finalement parvenu à la conclusion que les membres de Nitro opèrent depuis la Chine, les autorités du pays ont d'ores et déjà nié avoir participé aux attaques. 

Les attaques d'août 2012 exploitant la faille non corrigée de Java avaient poussé Oracle à émettre une de ses rares mise à jour "out-of-band». Apple avait également émis un correctif pour Java 6, la version utilisée par OS X Snow Leopard et OS Lion, pour protéger ses utilisateurs.

IE10 probablement touché par la faille

Si on ignore pour l'instant si la vulnérabilité trouvée est présente dans IE10, le navigateur fourni avec Windows 8, HD Moore, chef de la sécurité chez Rapid7 et créateur de Metasploit, a déclaré que lui et son équipe n'avaient pas encore testé IE10 sur Windows 8. Toutefois, l'homme pencherait pour une réponse affirmative. 

Moore a hésité à confirmer la responsabilité du groupe Nitro et a préféré comme Romang déclarer que d'autres possibilités existaient. "Plusieurs groupes peuvent partager ces failles et même se les transmettre à d'autres quand il a fini de l'utiliser", a-t-il dit. Il est également possible que le serveur web qui héberge le code de l'exploit IE ne soit tout simplement qu'un dépotoir, a ajouté M. Moore.

"Peut-être que l'exploit IE a été mis sur ce serveur parce que les agresseurs ont déjà profité de celui-ci", spécule Moore. "Une façon de brouiller les pistes est de s'assurer qu'un exploit a été largement distribué une fois que vous n'en avez plus besoin".

Le prochain Patch Tuesday est prévue pour le 9 octobre, soit dans plus de trois semaines à compter d'aujourd'hui. Microsoft a toutefois la possibilité de fournir un patch avant. "Je pense que l'émission d'un patch dépendra en grande partie de ce que la firme aura à déclaré via l'alerte," a déclaré Andrew Storms, directeur des opérations chez Ncircle. Si Microsoft s'en tient à son procédé face aux failles zéro-day, la firme devrait faire publier un avis de sécurité aujourd'hui ou demain avec plus d'informations. 

Microsoft coutumier des add-on non fonctionnelles et bogées

Vendredi dernier, la firme de Redmond a reconnu qu'elle avait dû réécrire 4 des 13 add-on de sécurité publiées lors du dernier Patch Tuesday. D'après le retour des utilisateurs, même une fois installées, les...

le 18/09/2013, par Gregg Keizer, adaptation Oscar Barthe, 463 mots

Google ne crypte pas efficacement les mots de passe Wi-Fi

Lorsqu'un utilisateur d'Android réalise une sauvegarde de son système, notamment en vue d'une réinitialisation de l'appareil, la firme de Mountain View accède immédiatement au clé de son réseau WiFi privé....

le 18/09/2013, par Oscar Barthe, 367 mots

2 millions de comptes clients de Vodafone Allemagne piratés

Un salarié travaillant pour un prestataire de Vodafone Allemagne est soupçonné d'être à l'origine du vol de données concernant deux millions de clients. Cette affaire n'est pas sans rappeler, par sa...

le 16/09/2013, par Serge LEBLAL, 364 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »