Internet Explorer : une faille de sécurité activement exploitée

L’article est trompeur, bien que la faille existe dans toutes les versions d’IE, jusqu’à présent les hackers n’ont pas réussi à l’exploiter sous IE10 et IE11 à cause de la fonctionnalité ForceASLR de win7/8.



pour les autres versions, Microsoft avait rapidement publié un patch FixIt, et EMET empêche également l’exploitation de la faille.



au final, si on utilise une version récente d’IE, il n’y a pas de risque.



se plaindre qu’IE est insecure à cause de cette taille c’est comme se plaindre que Firefox 4 (sorti à la meme époque que IE9) est plein de failles 0day non corrigées et que donc Firefox c’est de la merde.



quand on utilise une ancienne version d’un navigateur ou OS, il faut s’attendre à ce que la sécurité soit moindre. C’est déjà pas mal que MS diffuse encore des patchs pour winxp et IE9. La concurrence ne fait rien de tel pour des logiciels aussi anciens.

Dernier détail:



la faille n’est actuellement exploitable sous windows7 ie8/9 que si Office 2007 ou 2010 est installé, car l’exploit se sert d’une dll d’office non compatible ASLR pour contourner l’ASLR.



sous IE10, ForceASLR est actif, et force l’ASLR sur toutes les dll, même celles non marquées comme compatible. Donc l’exploit ne peut pas fonctionner.



sous xp, la seule protection reste d’installer le patch temporaire.



https://community.rapid7.com/community/metasploit/blog/2013/09/30/metasploit-rel…

Non. Déjà le “Browser Pivoting” n’est pas un exploit mais une technique post-exploitation. Tu peux faire la même chose avec Firefox, il faut juste le coder. Que tu injectes une bibliothèque dans le processus de Firefox en hookant les bonnes fonctions, ou que tu codes une extension qui fasse relais (Je l’ai d’ailleurs plus ou moins déjà fait, ça).

Le principe est applicable à n’importe quel navigateur. Ce que ton article montre c’est uniquement son implémentation dans Internet Explorer. D’ailleurs ça s’appelle Browser Pivot, pas Internet Explorer Pivot





+1



c’est d’ailleurs pour cette raison que Microsoft n’integrera jamais de support d’extension dans IE (mis à part les BHO qui existent depuis IE3 et qui ne sont plus supportés sur IE metro et Windows RT)



au passage, des malwares qui s’intègrent déjà dans chrome/firefox/opera/safari pour recuperer les données des formulaires à la volée (et les session ID) existent déjà depuis des années et sont assez répandus.



l’article cité par Glyphe a pour but de démontrer l’inefficacité des authentifications multifacteurs en cas d’infection de l’OS hôte. La démo a été faite sous IE, mais ce n’est en aucun cas pour montrer que IE serait plus vulnérable que les autres navigateurs. Ils le sont tous autant. Dommage que Glyphe ait tout compris de travers.

Moi aussi je te décerne un yaisse.gif





thanks :)





De plus a partir de IE11 je crois que le Enhanced Protected Mode (et donc le ForceASLR) de leur sandbox est activé par défaut donc ca va etre du tout bon





le ForceASLR a été backporté sous win7 et il est actif sous IE10 pour win7 et win8, même si l’enhanced protected mode est désactivé.



donc à lui seul il suffit pour faire échouer l’exploit actuellement en circulation.





Pour une fois que la faille ne touche pas IE6 …





la faille touche IE6 aussi, mais l’exploit ne cible que IE8/9 car c’est un exploit qui a été créé sur mesure à des fins d’espionnage industriel, et non pour infecter des PCs en masse.



les hackers savaient que leur cible était des entreprises tournant sous ie8 et 9. Un exploit ciblant IE6 aurait été plus simple à développer que l’exploit ciblant IE8/9 sur win7. Mais de toute évidence ça ne les intéressait pas.



si ces cibles avaient utilisé un autre navigateur, c’est cet autre navigateur qui aurait été ciblé (avec autant de volonté et de moyens, Firefox et chrome sont exploitables également…)

Petite question con.

Ce genre de faille de sécurité n’est dangereuse que si l’on considère le poste comme dépourvu d’antivirus ou d’outil de sécurité?





un antivirus ne peut bloquer que les malware connus (sous entendu, les plus diffusés).



il ne faut pas trop compter dessus pour se protéger des failles de ce type, car les éditeurs d’anti virus n’auront pas connaissance de toutes les variantes.



en revanche, l’utilisation de l’utilitaire de sécurité EMET peut modifier le fonctionnement des applications de manière à rendre incompatible les exploits 0day conçus pour contourner les protections appliquées dans la config par defaut de Windows (ex: ce malware ne cherche pas à contourner ForceASLR puisqu’il est désactivé par défaut sous ie8/9)



http://blogs.technet.com/b/srd/archive/2013/09/17/cve-2013-3893-fix-it-workaroun…

(lire la section EMET4).



déjà rien que le fait d’utiliser la fonction mandatory ASLR de EMET sur iexplore.exe suffit à protéger les utilisateurs d’IE8/9 sous Windows 7, puisque ça équivaut à appliquer la fonction ForceASLR, celle là même qui protège efficacement IE10/11 contre l’exploit 0day dont parle cette news.



http://www.microsoft.com/en-us/download/details.aspx?id=39273



au passage, EMET n’est pas spécifique à IE, il permet également de protéger des applications comme adobe Reader ou Firefox contre certaines failles 0day en activant des protections mémoires en cours d’expérimentation (et qui sont destinées à être intégrées dans les versions plus récentes de Windows).

On verra bien au prochain pwn2own





pas besoin, IE10 s’est deja fait exploiter cette année, tout comme chrome et Firefox lors du pwn2own. Donc non, aucune protection n’est invulnérable.



mais ce n’est pas juste une faille qui fait d’un navigateur un logiciel à éviter.



pour exploiter une faille dans IE10 il leur avait fallu des mois de travail, et trouver plusieurs failles pour contourner toutes les protections mémoire et la sandbox sans avoir à s’appuyer sur des plugins tiers.



ce niveau de difficulté est rassurant, et montre que la plupart des hackers auront du mal à créer des exploits ciblant IE10.



donc pour peu que les utilisateurs utilisent une version récente d’IE, comme ils le feraient avec Chrome ou Firefox, l’exposition à des failles 0day exploitables devrait être très rare. L’exemple de cette news le montre, les hackers n’avaient pas les moyens (temps, compétences?) de cibler IE10/11 et se sont contentés de IE8/9.

je pense que tu connais déjà la réponse ? Je parles pas de WebRTC et autres trucs exotiques, je parles plutot de choses finalisées depuis longtemps qu’IE n’as jamais pu implementé, faute de temps.



je salut qu’ils essaient de rattraper le temps perdu au fil des versions, mais il y a un tel retard qu’il est normal qu’ils soient à la traine. en attendant perso, j’invite les visiteurs de mes sites sous IE a installer chromeframe, et tout le monde est content





et pourtant:



http://blog.jquery.com/2013/01/14/the-state-of-jquery-2013/



But to the point about cross-browser issues, it’s a complete myth that today’s modern browsers have no differences. Look through the jQuery source code and you’ll see plenty of places where it has to fix, patch, and mask issues in modern browsers; those problems didn’t end with IE8. jQuery 2.0 now has more patches and shims for Chrome, Safari, and Firefox than for Internet Explorer!