Toutes les versions d’Internet Explorer touchées par une faille critique 0-day

Jean_Peuplus a écrit :



Même Firefox avec NoScript ? " />







si tu utilises Windows 2000 ou une version de linux un peu ancienne sans ASLR et DEP, les failles sont exploitables même avec Noscript.



par contre, avec ASLR/DEP la possibilité d’exploiter des failles de corruption mémoire si le support de javascript est désactivé devient effectivement moins réaliste.



mais Noscript n’a pas grand intérêt quand on considère que la plupart des sites nécessitent JS pour marcher correctement. Au final, tu te retrouves à whitelister tellement de trucs que tu finiras pas whitelister aussi les exploits 0day sans t’en apercevoir.



les pédophiles qui utilisent Firefox avec TOR l’ont appris à leur dépens lorsque le FBI est venu frapper à leur porte l’été dernier ;)

(noscript était pourtant activé par défaut)

Khalev a écrit :



C’est bien ce que je dis, le concours p2o ne permet pas de savoir ce qu’il en est concernant la sécurité de IE avec EMET. Juste que ça ne rentrait pas dans les cases du concours p2o.







bah en tout cas pour des sommes moins élevées que 150 000$, tous les navigateurs sans EMET se sont fait “pwner” à plusieurs reprises, y compris safari sous osx.



donc à choisir, mieux vaut faire confiance à EMET.



surtout que jusqu’ici, on a jamais vu d’exploit en liberté qui contourne EMET.

même sur des cibles de haute valeur dans le cadre d’attaque ciblées comme on a pu le voir ici.



évidemment EMET peut être contourné, c’est déjà arrivé dans le passé.



mais tout laisse à penser que les hackers ont beaucoup plus de mal à attaquer un navigateur protégé par EMET, que n’importe quel navigateur sous windows/linux/osx sans EMET.

cyrilleberger a écrit :



Ou personne n’ait essayé de développer un tel exploit parce que le nombre d’utilisateurs d’EMET est très faible. Et que donc, cibler IE+EMET n’est pas rentable.



D’une manière générale, il est vraisemblablement plus sécure d’utiliser un navigateur plein de failles, mais qui a peu d’utilisateurs qu’un navigateur avec peu de failles mais plein d’utilisateurs. Les pirates cibleront toujours celui avec plein d’utilisateurs, mais si c’est plus facile d’attaquer l’autre.







dans le cadre d’une attaque générique qui a pour but d’infecter un max d’utilisateurs, oui.



mais dans le cadre d’une attaque ciblée, non!



si une cible de valeur utilise un navigateur rarement utilisé, ça n’a aucune importance puisque le hacker cherche à infecter une cible spécifique, et non une large population.







Ce qui ne veut pas dire qu’IE+EMET n’est pas fiable. C’est juste une cible pas intéressante pour les pirates.





dans la population générale, l’utilisation d’EMET est assez rare en effet.



mais l’utilisation de chromeOS est encore plus rare, et pourtant deux équipes de hackers se sont donné la peine de le hacker lors du dernier pwn2own (même recompense que pour IE11/EMET: $150 000)



ce qui laisse penser que EMET apporte un réel plus niveau sécurité, c’est les attaques ciblées comme la faille dont il est question dans cet article.



EMET est de plus en plus utilisé en entreprise et dans les agences gouvernementales (qui sont justement les cibles de ces attaques 0day) car MS encourage fortement à son adoption, offrant même officiellement un support technique pour ce produit.



jusqu’ici on n’a entendu parler que d’un seul PoC contournant EMET4.1 (donc pas une attaque réelle), et aucun contournant EMET5 ou EMET 4.1 avec deep hook et anti détour activés.

Koxinga22 a écrit :







malgré les idées reçues, ces dernières années, IE est le navigateur qui a eu le moins de failles de sécurité.



mais j’imagine que c’est facile de cracher sur les autres quand on s’imagine qu’il est facile de faire mieux.





Et cette histoire d’EMET, je suis pas convaincu. Leur truc à eux, c’est pas d’être “user friendly” ? S’il faut installer et configurer un soft pour sécuriser un autre soft, ca me semble pas du tout la bonne voie à suivre pour être intuitif vis à vis des utilisateurs non avertis.







EMET pose des problèmes de compatibilité avec certains plugins utilisés en entreprise, ce qui empêche MS d’inclure directement les protections fournies par EMET dans Windows.



mais au fur et a mesure que les éditeurs de plugins incompatible mettent leurs produits à jour, MS peut inclure dans windows/IE des protections qui étaient autrefois réservées à EMET.



c’est le cas de ForceASLR qui est apparu sous IE10 par exemple.



pour les particuliers pas de problème, EMET est compatible avec tous les plugins classiques (flash, Silverlight, java, …)

YesWeekEnd a écrit :



Faut qd même ne pas perdre de vue que le Pwn2Own voit passer une masse de chercheurs… Donc des gens rompus à l’exercice. Le fait qu’il n’y ait pas eu un seul candidat sur le challenge Unicorn (le grand prix) ne peut pas juste se conclure par “ça n’a intéressé personne”.



Le fait qu’on recommande de mettre en place EMET (notamment pour la faille dont il est question dans l’article), et ce sur divers sites traitant du domaine, n’est pas la conséquence d’une absence de participant au p2o sur ce défi… Je vois bien des mecs de la sécurité dire “y’a pas eu de gagnant donc c’est sécure”.



Oui, Emet a déjà été contourné mais, oui aussi, Emet reste une solution très efficace à mettre en oeuvre et il rend IE plus difficilement exploitable que ses pairs… Ce qui n’est pas rien quand on connaît le niveau “sans Emet”.



Pour finir, la référence au P2O est un brin HS car le grand prix portait sur des critères très précis : Win8.1+ IE 11 + EMET, en x64. C’est encore très loin d’être une grande part de marché.







paradoxalement, EMET offre une meilleure protection sur les processus 32bits que sur les processus 64bits.



donc même si tu utilises un win7 32bits, pas de soucis, la protection fournie par EMET a un niveau comparable à celle des conditions idéales.



par contre sous XP non.

XP ne supporte pas l’ASLR, donc EMET n’est pas aussi efficace sous xp que sous win7.



EMET peut améliorer la sécurité sous xp, mais il sera plus facilement contourné. Donc pas une solution pour se protéger durablement des failles 0day maintenant que le support est terminé.

psikobare a écrit :



??







la plupart des browsers tournent en 32bit même sous Windows 64bit.



par défaut même IE tourne en 32bit (IE Metro tourne en 64bit).



c’est donc une bonne chose que les process 32bits soit mieux protégés par EMET car c’est eux qui en ont le plus besoin.



regarde dans le PDF d’aide de EMET pour plus d’infos.





ou alors sous xp 64 bits





il y a encore des gens sous xp 64bits? Tous les early adopters sont passés à autre chose depuis longtemps.

hadoken a écrit :



Encore une fois tout çà prouve bien qu’il faudrait vraiment avoir un OS Windows codé en managé, histoire d’éviter les hacks sur des dépassement de mémoire et co.



" />







et un openSSL .NET aussi ;)

(ou en java)

XMalek a écrit :



Oui mais bon le surcout mémoire + preformance d’un OS managé est non négligable. Cela provoquera une montée en puissance des petites machines, et selon moi ce n’est pas une bonne idée d’avoir tout l’os en managé.



Ce qu’il faudrait c’est la possiblité d’avoir des programmes critiques en managés (ie : les navigateurs ,les clients mails, les visionneuses, etc) et d’autres programmes qui sont eux en natif (Jeux, applications critiques en ressources, Programmes utilisant des instructions très bas niveaux). Après si les créteurs de navigateurs refusent de jouer le jeu on restera au même point.







+1

si au moins on avait des navigateurs web 100% en java ou .net ça éliminerait pas mal de problèmes. Pas juste pour les particuliers, mais surtout pour les entreprises victimes d’attaques ciblées. Les exploits 0day ont beau devenir de plus en plus difficile à développer, ça n’empêche pas les hackers d’arriver à leur fin lorsqu’il s’agit de cibles intéressantes.



je suis sûr que bon nombre de personnes accepteraient d’avoir un navigateur qui utilise 30% de resource CPU/RAM en plus si en contre partie ils ont la garantie qu’ils n’y aura plus de failles permettant d’exécuter du code arbitraire. Vu le temps nécessaire au transit des données par internet, sur un PC moyen on ne verrait pas la différence entre un navigateur en C et un navigateur en code managé dans des scenarios de navigation web classique.



malheureusement en ce moment les éditeurs font la course aux benchmarks et aux nouvelles fonctionnalités. La sécurité ne semble pas leur priorité numéro 1 (quand on voit que Firefox n’a toujours pas de sandbox… Ouch).