S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Toutes les versions d'Internet Explorer touchées par une faille critique 0-day

Changez de navigateur ou appliquez des mesures de sécurité

Une importante faille de 0-day a été découverte dans Internet Explorer. Affectant toutes les versions encore supportées du navigateur, elle se révèle particulièrement dangereuse sous Windows XP, dont le support technique est terminé. La solution la plus efficace est d’utiliser temporairement un autre navigateur, même si des mesures spéciales peuvent être mises en place.

internet explorer 11

Une faille fonctionnant sur les versions 6 à 11 d'Internet Explorer 

Le monde de la sécurité s’active particulièrement depuis samedi, à la faveur de la découverte d’une faille de sécurité critique dans Internet Explorer. De type 0-day (déjà exploitée au moment de sa découverte), elle touche toutes les versions du navigateur de Microsoft depuis la 6, autrement dit toutes les moutures présentes dans les systèmes Windows depuis XP jusqu’à Windows 8.1, même avec la récente Update 1.

 

Cette vulnérabilité, portant officiellement la référence CVE-2014-1776, concerne la manière dont Internet Explorer accède à un objet en mémoire qui a été précédemment supprimé ou dont l’espace mémoire n’a pas été alloué de la bonne manière. L’exploitation de la faille pourrait entrainer une corruption de cette zone mémoire, permettant alors à un attaquant d’y faire exécuter un code arbitraire de son propre cru.

Flash et VML pour contourner les protections du navigateur 

Comme certains ne manqueraient pas de le souligner, l’exploitation d’une telle vulnérabilité limiterait le contexte d’exécution à Internet Explorer. Plusieurs mesures de protection empêchant en théorie ce genre d’attaque de sortir du périmètre du navigateur, notamment l’ASLR (Adress Space Layout Randomization) et la DEP (Data Execution Prevention), sont en place depuis plusieurs années. Mais pour les contrer, des mesures spécifiques ont été prises. 

 

Les pirates à l’origine de cette exploitation visent précisément les versions 9, 10 et 11 d’Internet Explorer, que l’on peut trouver sous Vista, Windows 7 et Windows 8. Pour contourner les protections, ils ont utilisé deux éléments extérieurs : le VML (Vector Markup Language) et Flash. L’attaque est donc particulièrement bien ficelée et s’adresse en fait, pour l'instant, à des cibles assez particulières. Toutefois, comme toute révélation publique dans ce genre de cas, l’exploitation de la brèche pourrait gagner en intensité.

Une attaque visant avant tout les grandes structures 

Les attaquants eux-mêmes sont connus des entreprises de sécurité, notamment de FireEye qui fut l’une des premières à analyser la situation. Elle indique ainsi que le groupe est célèbre pour ses attaques de type APT (advanced persistent threats), composées de lots de plusieurs failles et techniques, et dirigées contre des cibles relativement spécifiques telles que de grandes firmes ou des gouvernements. Pour FireEye, il s’agit du même groupe et du même mode opératoire. Ce qui les rend d’ailleurs difficile à détecter car les pirates ne réutilisent jamais la même infrastructure de contrôle pour deux attaques différentes (les fameux serveurs C&C, Command & Control).

 

L’attaque elle-même prend place, comme souvent dans ce genre de cas, via un ou plusieurs sites web spécialement conçus pour exploiter la brèche de sécurité. Si celle-ci est détectée dans Internet Explorer, elle provoque à terme le téléchargement d’un logiciel malveillant. Il y a de fortes chances pour que ces sites (les détails sont peu nombreux pour éviter une reproduction trop aisée) soient des copies très réussies de sites existants, sur lesquels les victimes arrivent depuis des campagnes de faux emails habituellement très soignés.

Changer de navigateur ou atténuer les risques 

Les questions sont donc : doit-on et peut-on s’en prémunir ? Il faut bien entendu se préparer au cas où l’exploitation gagnerait en intensité. La solution la plus efficace est de changer temporairement de navigateur et d’utiliser un produit tiers tel que Firefox, Chrome ou Opera. Dans le cas où vous voudriez garder Internet Explorer, soit par convenance, soit par obligation, il existe également des actions à prendre pour limiter les risques.

 

Les premières mesures concernent évidemment les éléments tiers utilisés pour contourner les protections d’Internet Explorer : VML et Flash, qu’il faut donc désactiver. Si vous utilisez la version 10 ou 11 du navigateur, vous pouvez activer également la fonction « Enhanced Protected Mode » dans les Options internet, mais uniquement si vous possédez un Windows 7 ou 8 en 64 bits. Enfin, il est recommandé d’installer l’EMET (Enhanced Mitigation Experience Toolkit), une trousse à outils permettant de mettre en place des protections particulières, et d’en activer toutes les règles d’atténuation des risques, y compris les mesures « deephooks » et « antidetour ». Si vous utilisez la préversion d’EMET 5.0, il faudra également activer les fonctions ASR (Attack Surface Reduction) et EAF+ (Expert Adress Table Filtering).

 

Microsoft a de son côté indiqué que ses équipes travaillaient à la création d'une mise à jour de sécurité. Cependant, on sait que le cas de Windows XP est déjà réglé et qu'aucun correctif ne sera proposé. Il s'agit de la première menace sérieuse à voir le jour contre le vieux système depuis la fin de son support technique.

Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Google+

Publiée le 28/04/2014 à 09:55

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 127 commentaires

Avatar de Edtech INpactien
Edtech Le lundi 28 avril 2014 à 10:00:18
Inscrit le mardi 17 octobre 06 - 4073 commentaires
N'utilisant que la version ModernUI, ça doit pas mal limiter les risques. Je vais renforcer le paramétrage d'EMET au cas où !
Avatar de Mme_Michu INpactien
Mme_Michu Le lundi 28 avril 2014 à 10:01:07
Inscrit le mardi 22 mai 12 - 891 commentaires
Changez de navigateur ou appliquez des mesures de sécurité


Pas de souci.. Je connais qu'une seule personne qui utilise Internet Explorer sur son PC.. mais ça sert à rien de lui prévenir de toute façon
Avatar de Maicka INpactien
Maicka Le lundi 28 avril 2014 à 10:01:44
Inscrit le mercredi 4 janvier 12 - 514 commentaires
Semi H.S mais Opera m'a proposé la 12.17 la semaine dernière. C'était un belle faille aussi apparemment.
Avatar de jmanici INpactien
jmanici Le lundi 28 avril 2014 à 10:09:41
Inscrit le mardi 20 septembre 11 - 1442 commentaires
Pour info, IE Metro n'est pas affecté par l'exploit car l'Enhanced Protected Mode est actif par défaut.

IE Mobile pour wp7/8 n'est pas affecté par la faille car il ne supporte plus VML (qui est une technologie dépréciée)


La solution la plus efficace est d’utiliser temporairement un autre navigateur, même si des mesures spéciales peuvent être mises en place


la solution la plus efficace est plutôt d'installer EMET pour ceux qui ne l'ont pas déjà fait, et ce, même s'ils n'utilisent pas IE.

comme l'a montré le dernier concours de sécurité Pwn2Own, mieux vaut utiliser IE avec EMET malgré cette faille, plutôt que d'utiliser Firefox ou Chrome.

pour rappel, la seule cible à ne pas avoir été attaquée lors de ce concours était IE11 avec EMET, malgré les 150 000$ de recompense.
Firefox, lui, avait été hacké 5fois, et ChromeOS 2fois...

comme quoi Microsoft sait comment s'y prendre pour développer un navigateur sécurisé. Malheureusement, à cause de la volonté de continuer à supporter des vieux plugins utilisés dans certaines entreprise, MS ne peut pas inclure les protections apportées par EMET directement dans Windows.

plus d'infos sur EMET pour ceux qui ne connaissent pas encore le principe de cet outil:
http://www.julien-manici.com/blog/EMET-protection-against-flaws-Internet-Explore...
Avatar de zefling INpactien
zefling Le lundi 28 avril 2014 à 10:13:28
Inscrit le mercredi 30 juin 04 - 12996 commentaires
Semi H.S mais Opera m'a proposé la 12.17 la semaine dernière. C'était un belle faille aussi apparemment.

Y'a encore des utilisateurs d'Opera ?

Il y a 127 commentaires

;