S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Chine : une faille 0 Day d‘Internet Explorer utilisée contre Google

Opération Aurora

Google a annoncé sur son blog avoir subi une cyber-attaque le mois dernier contre ses infrastructures chinoises, avec à la clef, le vol de certaines de ses propriétés intellectuelles. L’attaque informatique subie par la firme et une vingtaine d’autres sociétés a déjà un nom : l’Opération Aurora, nom trouvé dans les lignes de code d’un nouvel exploit « 0 Day ». Selon les investigations de l’éditeur McAfee, l’attaque s’appuie sur une faille critique non corrigée d’Internet Explorer. Et c’est donc elle qui a déclenché la goutte de trop que l’on sait entre Moutain View et les autorités chinoises.

google chine cn internet explorer

Sans évoquer la question Google, Microsoft a déjà publié un bulletin d’alerte spécial sur son site confirmant la faille, ainsi qu'un post sur son blog. La faille concerne à peu près toutes les versions d’Internet Explorer (5, 6, 7, 8) sauf Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 SP4.

Elle exploite une erreur dans la gestion de la mémoire (pointeur invalide), précisément dans la manipulation de certains DOM (Document object Model) entre les mains du navigateur.

Dans le scénario d’attaque web, il suffit d’une page spécialement conçue pour exploiter la vulnérabilité. Ne reste plus alors qu’à persuader une personne de visiter la page, par exemple par le biais d’un lien dans un email, une pub, etc. pour offrir à l’attaquant le même niveau de droit que l’utilisateur local. De fait, l’internaute qui surfe avec des droits d’administrateur sera plus à risque qu’un autre...

Dans ce mauvais scénario, l’utilisateur distant pourra alors exécuter du code sur cette machine, virus et autres chevaux de Troie. Selon les premières investigations, l’attaque s’appuie justement sur un troyen qui se lance à chaque démarrage et permet au pirate de voir, créer ou modifier des informations sur la machine locale. Celui qui parvient à mener à bien cette attaque peut alors « commencer à siphonner de précieuses données de l'entreprise » souligne McAfee.

En attendant un patch officiel, les premières mesures à prendre sont listées par le site spécialisée Secuser.com. Elles consistent à activer la Data Execution Prevention (DEP) de Windows, et dans le même temps à désactiver l’Active Scripting dans les zones de sécurité "Internet" et "Intranet Local" du navigateur Internet Explorer. Précision importante : le DEP est activé par défaut depuis Windows XP SP2, rendant plus complexe l'exploitation de la faille. Il faut néanmoins activer manuellement cette protection pour Internet Explorer 6 et 7. D'autre part, sous Vista et Windows 7, Internet Explorer fonctionne dans un espace isolé.

Seule assurance : Aurora a servi à des attaques très ciblées, il n’y a pas encore d’exploitation « large ».
Marc Rees

Journaliste, rédacteur en chef

Publiée le 15/01/2010 à 10:53

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 195 commentaires

Avatar de Tolor Modérateur
Tolor Le vendredi 15 janvier 2010 à 14:42:33
Inscrit le mercredi 5 août 09 - 12180 commentaires

L'exploitation de failles dans adobe reader est devenu le vecteur numéro d'exploitation de failles 0day

D'ailleurs, comme j'ai dis plus haut, certaines sources donnent une faille coté adobe comme faille utilisée dans l'attaque (mais bon, tout le monde s'en fout de ce que je dis )

Avatar de link385 INpactien
link385 Le vendredi 15 janvier 2010 à 14:43:13
Inscrit le lundi 12 mai 03 - 3178 commentaires
Étant donné le nombre de trolls, tous ceux qui seront publiés après ce message seront supprimés et leur auteur bloqué sur cette actualité.


pour éviter de déchainer les trolls, ne serait-ce pas utile de modifier la news pour préciser que pour l'instant les exploits ne s'attaquent que à IE6, et que le DEP étant déjà activé par défaut sous IE8, le risque d'exploitation est très faible sur ce navigateur?
mentionner la sandbox de vista/7 serait un plus pour la qualité journalistique de cet article
Avatar de MdMax INpactien
MdMax Le vendredi 15 janvier 2010 à 14:45:49
Inscrit le lundi 14 mai 07 - 2974 commentaires
en tout cas l'attaque visait des employés de google utilisant IE6.


Employés Google ou militants des Droits de l'Homme ?
http://www.pcinpact.com/actu/news/54928-google-chine-censure-recherche-baidu.htm
Avatar de link385 INpactien
link385 Le vendredi 15 janvier 2010 à 14:48:13
Inscrit le lundi 12 mai 03 - 3178 commentaires
D'ailleurs, comme j'ai dis plus haut, certaines sources donnent une faille coté adobe comme faille utilisée dans l'attaque (mais bon, tout le monde s'en fout de ce que je dis )



oui j'ai lu, mais McAfee a dit que bien que c'était ce que supposaient initialement les experts en sécurité, il s'est avéré que la faille PDF n'a pas été exploitée dans cette attaque (à la surprise générale, puisque les failles d'IE deviennent rares maintenant et qu'il était plus probable qu'il s'agisse d'une faille adobe).

Mais il est tout à fait vrai que les failles d'adobe reader sont massivement exploitées, et qu'il est important de mettre à jour vers la version 9.3 tout de suite (surtout si on n'utilise pas IE avec le mode protégé) puisque adobe reader s'installe en tant que plugin dans le navigateur web (ie, firefox, ...), et un site piraté peut donc ouvrir un pdf dans le navigateur sans que l'utilisateur ne s'en rende compte pour exploiter la faille en question (d'où l'importance de mesures préventives comme une sandbox)
Avatar de link385 INpactien
link385 Le vendredi 15 janvier 2010 à 14:51:37
Inscrit le lundi 12 mai 03 - 3178 commentaires



google parle d'une attaque interne récente (celle dont parle cet article)

les attaques qui ont permi le vol de mot de passe de défenseurs des droits de l'homme surveillés par la chine se sont déroulées d'une maniere dévoilée (vu que ça c'est passé sur leur ordinateur personnel, il n'y a pas eu d'investigation concernant la méthode utilisée pour voler ces données), qui peut tout à fait inclure cette faille d'IE, mais peut également inclure d'autres méthodes (social engineering, faille 0 day dans un autre navigateur, faille dans adobe reader, ...)
Avatar de Vincent_H Equipe
Vincent_H Le vendredi 15 janvier 2010 à 14:52:38
Inscrit le jeudi 30 janvier 03 - 15419 commentaires

pour éviter de déchainer les trolls, ne serait-ce pas utile de modifier la news pour préciser que pour l'instant les exploits ne s'attaquent que à IE6, et que le DEP étant déjà activé par défaut sous IE8, le risque d'exploitation est très faible sur ce navigateur?
mentionner la sandbox de vista/7 serait un plus pour la qualité journalistique de cet article


Ce n'est pas moi qui l'ai écrite, et tu sais pertinemment qu'avec ou sans ça, il y aura toujours des commentaires débiles de la part de ceux qui ont une lecture très sélective de ce type d'article. Cela dit, j'avertis l'auteur.
Avatar de Tuttle7 INpactien
Tuttle7 Le vendredi 15 janvier 2010 à 14:53:40
Inscrit le mardi 28 juillet 09 - 745 commentaires

euh... installer un logiciel tiers est plus radical que d'activer un simple parametre de sécurité pour IE6/7... d'autant plus que sous vista IE7 est déjà sandboxé!

Je pense que c'est radical surtout pour les performances le mode DEP
Le dossier "Fichiers temporaires" n'est pas isolé dans IE7, et une petite prévention d'autres failles éventuelles ne fait pas de mal.
Avatar de Ezelyn INpactien
Ezelyn Le vendredi 15 janvier 2010 à 14:54:11
Inscrit le vendredi 27 février 09 - 1031 commentaires

en tout cas on voit bien que google et sa lutte anti IE/IE6 est hypocrite puisqu'en internet ils utilisents toujours du XP/IE6... (sinon ils n'auraient pas été vulnérables à cette attaque)
tiens d'ailleurs, pourquoi ils utilisent pas chrome chez google?

IE6 c'est presque toujours synonyme d'entreprise sous win2000 pour une partie du parc informatique. Et sur 2000, chrome n'est officiellement pas compatible.
Commentaire de Ricard supprimé le 01/01/1970 à 00:00:00 : Troll ou incitation au troll
Commentaire de windu.2b supprimé le 01/01/1970 à 00:00:00 : Réponse à un commentaire supprimé
;