Une importante faille de 0-day a été découverte dans Internet Explorer. Affectant toutes les versions encore supportées du navigateur, elle se révèle particulièrement dangereuse sous Windows XP, dont le support technique est terminé. La solution la plus efficace est d’utiliser temporairement un autre navigateur, même si des mesures spéciales peuvent être mises en place.
Une faille fonctionnant sur les versions 6 à 11 d'Internet Explorer
Le monde de la sécurité s’active particulièrement depuis samedi, à la faveur de la découverte d’une faille de sécurité critique dans Internet Explorer. De type 0-day (déjà exploitée au moment de sa découverte), elle touche toutes les versions du navigateur de Microsoft depuis la 6, autrement dit toutes les moutures présentes dans les systèmes Windows depuis XP jusqu’à Windows 8.1, même avec la récente Update 1.
Cette vulnérabilité, portant officiellement la référence CVE-2014-1776, concerne la manière dont Internet Explorer accède à un objet en mémoire qui a été précédemment supprimé ou dont l’espace mémoire n’a pas été alloué de la bonne manière. L’exploitation de la faille pourrait entrainer une corruption de cette zone mémoire, permettant alors à un attaquant d’y faire exécuter un code arbitraire de son propre cru.
Flash et VML pour contourner les protections du navigateur
Comme certains ne manqueraient pas de le souligner, l’exploitation d’une telle vulnérabilité limiterait le contexte d’exécution à Internet Explorer. Plusieurs mesures de protection empêchant en théorie ce genre d’attaque de sortir du périmètre du navigateur, notamment l’ASLR (Adress Space Layout Randomization) et la DEP (Data Execution Prevention), sont en place depuis plusieurs années. Mais pour les contrer, des mesures spécifiques ont été prises.
Les pirates à l’origine de cette exploitation visent précisément les versions 9, 10 et 11 d’Internet Explorer, que l’on peut trouver sous Vista, Windows 7 et Windows 8. Pour contourner les protections, ils ont utilisé deux éléments extérieurs : le VML (Vector Markup Language) et Flash. L’attaque est donc particulièrement bien ficelée et s’adresse en fait, pour l'instant, à des cibles assez particulières. Toutefois, comme toute révélation publique dans ce genre de cas, l’exploitation de la brèche pourrait gagner en intensité.
Une attaque visant avant tout les grandes structures
Les attaquants eux-mêmes sont connus des entreprises de sécurité, notamment de FireEye qui fut l’une des premières à analyser la situation. Elle indique ainsi que le groupe est célèbre pour ses attaques de type APT (advanced persistent threats), composées de lots de plusieurs failles et techniques, et dirigées contre des cibles relativement spécifiques telles que de grandes firmes ou des gouvernements. Pour FireEye, il s’agit du même groupe et du même mode opératoire. Ce qui les rend d’ailleurs difficile à détecter car les pirates ne réutilisent jamais la même infrastructure de contrôle pour deux attaques différentes (les fameux serveurs C&C, Command & Control).
L’attaque elle-même prend place, comme souvent dans ce genre de cas, via un ou plusieurs sites web spécialement conçus pour exploiter la brèche de sécurité. Si celle-ci est détectée dans Internet Explorer, elle provoque à terme le téléchargement d’un logiciel malveillant. Il y a de fortes chances pour que ces sites (les détails sont peu nombreux pour éviter une reproduction trop aisée) soient des copies très réussies de sites existants, sur lesquels les victimes arrivent depuis des campagnes de faux emails habituellement très soignés.
Changer de navigateur ou atténuer les risques
Les questions sont donc : doit-on et peut-on s’en prémunir ? Il faut bien entendu se préparer au cas où l’exploitation gagnerait en intensité. La solution la plus efficace est de changer temporairement de navigateur et d’utiliser un produit tiers tel que Firefox, Chrome ou Opera. Dans le cas où vous voudriez garder Internet Explorer, soit par convenance, soit par obligation, il existe également des actions à prendre pour limiter les risques.
Les premières mesures concernent évidemment les éléments tiers utilisés pour contourner les protections d’Internet Explorer : VML et Flash, qu’il faut donc désactiver. Si vous utilisez la version 10 ou 11 du navigateur, vous pouvez activer également la fonction « Enhanced Protected Mode » dans les Options internet, mais uniquement si vous possédez un Windows 7 ou 8 en 64 bits. Enfin, il est recommandé d’installer l’EMET (Enhanced Mitigation Experience Toolkit), une trousse à outils permettant de mettre en place des protections particulières, et d’en activer toutes les règles d’atténuation des risques, y compris les mesures « deephooks » et « antidetour ». Si vous utilisez la préversion d’EMET 5.0, il faudra également activer les fonctions ASR (Attack Surface Reduction) et EAF+ (Expert Adress Table Filtering).
Microsoft a de son côté indiqué que ses équipes travaillaient à la création d'une mise à jour de sécurité. Cependant, on sait que le cas de Windows XP est déjà réglé et qu'aucun correctif ne sera proposé. Il s'agit de la première menace sérieuse à voir le jour contre le vieux système depuis la fin de son support technique.
Commentaires (127)
#1
N’utilisant que la version ModernUI, ça doit pas mal limiter les risques. Je vais renforcer le paramétrage d’EMET au cas où !
#2
Changez de navigateur ou appliquez des mesures de sécurité
Pas de souci.. Je connais qu’une seule personne qui utilise Internet Explorer sur son PC.. mais ça sert à rien de lui prévenir de toute façon " />
#3
Semi H.S mais Opera m’a proposé la 12.17 la semaine dernière. C’était un belle faille aussi apparemment.
#4
Pour info, IE Metro n’est pas affecté par l’exploit car l’Enhanced Protected Mode est actif par défaut.
IE Mobile pour wp7/8 n’est pas affecté par la faille car il ne supporte plus VML (qui est une technologie dépréciée)
La solution la plus efficace est d’utiliser temporairement un autre navigateur, même si des mesures spéciales peuvent être mises en place
la solution la plus efficace est plutôt d’installer EMET pour ceux qui ne l’ont pas déjà fait, et ce, même s’ils n’utilisent pas IE.
comme l’a montré le dernier concours de sécurité Pwn2Own, mieux vaut utiliser IE avec EMET malgré cette faille, plutôt que d’utiliser Firefox ou Chrome.
pour rappel, la seule cible à ne pas avoir été attaquée lors de ce concours était IE11 avec EMET, malgré les 150 000$ de recompense.
Firefox, lui, avait été hacké 5fois, et ChromeOS 2fois…
comme quoi Microsoft sait comment s’y prendre pour développer un navigateur sécurisé. Malheureusement, à cause de la volonté de continuer à supporter des vieux plugins utilisés dans certaines entreprise, MS ne peut pas inclure les protections apportées par EMET directement dans Windows.
plus d’infos sur EMET pour ceux qui ne connaissent pas encore le principe de cet outil:
http://www.julien-manici.com/blog/EMET-protection-against-flaws-Internet-Explore…
#5
#6
Pas de sushi : avec mon XP je n’utilise plus IE " />
Par contre pour le reste, il faut faire confiance au système de protection de notre FAI : il doivent être super blindé … du moins il faut l’espérer " />
#7
#8
c’est parti " />
#9
Oulala ! C’est grave docteur ?
Si Mme Michu lit cette news, c’est la dépression assurée pour appliquer toutes vos recommandations. " />
#10
Bon bah ça tombe bien je n’utilise pas i.e
:)
#11
Mon lynx est infecté par je ne sais quoi ; j’ai des pop-up de cul en ascii art " />
#12
concernant la faille elle même, pour ceux qui pensent “encore une faille dans IE!”, gardez à l’esprit qu’il s’agit d’une attaque ciblée contre des entreprises ou des agences gouvernementales qui utilisent IE9/10 ou 11.
les hackers qui ont développé cet exploit ne se sont même pas donné la peine de rendre l’exploit compatible XP/IE6/7/8 parce qu’ils ont identifié que leur cible utilisait une version plus récente d’IE.
tout ça pour dire que dans le cadre d’attaques ciblées, peu importe le navigateur que vous utilisez, les hackers qui veulent vraiment s’en prendre à vous (si vous êtes une cible de grande valeur) développeront un exploit pour firefox/chrome si vous n’utilisez pas IE. Et à en juger par l’historique de sécurité de Firefox, je suis sûr que les hackers prefereraient que tout le monde migre vers Firefox, ça leur ferait moins de protections à contourner ;)
#13
Les pirates à l’origine de cette exploitation visent précisément les versions 9, 10 et 11 d’Internet Explorer
Si je comprends bien, la meilleure façon aujourd’hui d’être à l’abri de la faille est d’utiliser XP " />
#14
#15
La solution la plus efficace est de changer temporairement de navigateur et d’utiliser un produit tiers tel que Firefox, Chrome ou Opera.
Est ce que c’est également le cas sous Windows XP ?
Utiliser par exemple Firefox permet de se prémunir de cette faille ?
Merci
#16
#17
#18
#19
#20
#21
#22
#23
#24
#25
#26
#27
#28
#29
#30
#31
#32
#33
Faut qd même ne pas perdre de vue que le Pwn2Own voit passer une masse de chercheurs… Donc des gens rompus à l’exercice. Le fait qu’il n’y ait pas eu un seul candidat sur le challenge Unicorn (le grand prix) ne peut pas juste se conclure par “ça n’a intéressé personne”.
Le fait qu’on recommande de mettre en place EMET (notamment pour la faille dont il est question dans l’article), et ce sur divers sites traitant du domaine, n’est pas la conséquence d’une absence de participant au p2o sur ce défi… Je vois bien des mecs de la sécurité dire “y’a pas eu de gagnant donc c’est sécure”.
Oui, Emet a déjà été contourné mais, oui aussi, Emet reste une solution très efficace à mettre en oeuvre et il rend IE plus difficilement exploitable que ses pairs… Ce qui n’est pas rien quand on connaît le niveau “sans Emet”.
Pour finir, la référence au P2O est un brin HS car le grand prix portait sur des critères très précis : Win8.1+ IE 11 + EMET, en x64. C’est encore très loin d’être une grande part de marché.
#34
#35
#36
#37
#38
#39
SI je comprend bien, il ya une faille dans IE, qui est difficilement exploitable à cause de l’ASLR et du DEP.
Donc on se sert de Flash comme vecteur d’attaque.
Loin de moi l’idée de défendre IE mais vu qu’il existe des mesures de sécurité dans IE censées limiter l’exploitation d’une éventuelle faille… j’ai bien envie de taper sur Flash" />
#40
#41
#42
#43
#44
Encore une fois tout çà prouve bien qu’il faudrait vraiment avoir un OS Windows codé en managé, histoire d’éviter les hacks sur des dépassement de mémoire et co.
" />
#45
#46
#47
#48
#49
#50
#51
Faut être un fou furieux pour surfer avec IE sur Windows XP " />
#52
#53
#54
#55
#56
*
#57
#58
#59
#60
#61
Bon on patch, ça ne m’étonne même plus une faille dans IE.
#62
#63
Faut être fou pour utiliser encore IE sur XP pour un particulier, autant installer un navigateur moderne au moins, et bénéficier d’un confort de navigation sans commune mesure.
#64
#65
Si IE est installé mais que je ne l’utilise pas je n’ai pas à me faire de souci ? La faille qu’exploite le virus est une action du navigateur ?
#66
#67
#68
#69
amusez vous avec la version personnal… vous seriez étonné et IE vous semblera bien loin dans le top parade.
http://secunia.com/vulnerability_scanning/personal/
#70
#71
#72
#73
donc il faut flash et vml pour que l’attaque soit faisable, comme toujours quand c’est pas java c’est flash, ça serait interressant que ces spécialistes mettent autant de volonté à hacker d’autres navigateurs…
#74
#75
#76
#77
#78
#79
#80
#81
#82
#83
#84
#85
#86
Si tu veux mouker, installes IceWeasel alias firefox sous DEbian 7.
rulez.
" />
#87
Microsoft a de son côté indiqué que ses équipes travaillaient à la création d’une mise à jour de sécurité. Cependant, on sait que le cas de Windows XP est déjà réglé et qu’aucun correctif ne sera proposé. Il s’agit de la première menace sérieuse à voir le jour contre le vieux système depuis la fin de son support technique.
J’étais pessimiste mais pas au point de croire que ça arriverait aussi vite. " />
#88
Le problème d’Opera est qu’on peut pas importer les signets d’autres navigateurs dans le speed dial. Perso je vais pas réajouter tous mes 17548961653 signets à la main…
De plus à quoi ça sert d’avoir une grosse barre de recherche Google alors qu’on peut lancer une cherche dans la barre d’adresse ? Y’a pas moyen de s’en débarrasser ? Parce que c’est bon je le connais le logo désormais…
#89
#90
#91
#92
Merci. " />
#93
#94
#95
#96
#97
#98
#99
#100
Encore une fois, l’ICC reste la faille la plus grande dans l’informatique. Si l’ICC réfléchit avant de clicker, et sait ce qu’il doit éviter avec un PC de boulot, les risques ne seraient pas là…
#101
J’ai eu une mise à jour ce soir à propos de Flash Player et Internet Explorer, je suppose qu’il corrige cette faille.
#102
#103
#104
Changez de navigateur ou …
Comment ca “ou”? :p
#105
Internet Explorer
ça existe encore ?
#106
vu que windows, internet explorer, outlook et tous les produits microsoft contiennent une porte dérobée, je ne vois pas trop ce que cette faille va changer
ceux qui continuent à utiliser ces logiciels ne se préoccupent pas du tout de sécurité et je ne crois pas trop que cette news va les inquiéter
#107
#108
Il s’agit de la première menace sérieuse à voir le jour contre le vieux système depuis la fin de son support technique.
Et comme par hasard peu après l’annonce de la Chine de rester sur XP ^^
#109
Et blague à part comment peut-on savoir si on a été “infecté” ?
#110
#111
#112
#113
#114
#115
#116
#117
#118
#119
#120
#121
#122
#123
#124
Extraits :
“Toutes versions confondues, Internet Explorer est le pire (0,25% d’erreur); mais si l’on ne prend en compte que les versions les plus récentes des navigateurs, Safari 6 est le pire et Firefox 22 le meilleur.
…………………
Le meilleur navigateur, selon le critère du plus faible taux de plantage, est Firefox 22 (pas de plantage relevé), suivi par Chrome 27 (moins de 0,02%), IE 10, Opera 12 et Safari 6. Selon Sauce Labs, “la plupart des versions de Chrome ont des taux d’erreur assez bas pour ne pas apparaître dans le graphique. Ni les dernières versions de Firefox. Cela signifie que Chrome et Firefox sont solides en termes de performance. Pour les technophiles, cela n’est guère une surprise.”
http://www.zdnet.fr/actualites/quel-navigateur-plante-le-plus-pas-toujours-inter…
#125