Une nouvelle faille pour Internet Explorer a été trouvée. Elle est de type 0-day, c’est-à-dire déjà exploitée lors de sa découverte ou de son annonce. Cependant, bien que la brèche du navigateur soit bien réelle, son exploitation requiert la présence de Flash dans certains cas.
Internet Explorer 7, 8 et 9 touchés sous Windows XP, Vista et 7
Internet Explorer est donc affecté par une faille critique qui peut être exploitée à distance. Sa dangerosité réside d’ailleurs dans la méthode même d’exploitation : un utilisateur n’a qu’à visiter un site web préalablement contaminé. Comme toujours, ces sites peuvent être eux-mêmes malveillants ou avoir été modifiés silencieusement.
La faille touche les trois versions du navigateur de Microsoft, à savoir Internet Explorer 7, 8 et 9. Concernant les systèmes d’exploitation eux-mêmes, là encore il s’agit des trois dernières moutures : Windows XP, Vista et 7. Cependant, dans le cas des deux derniers, l’exploitation n’est possible que si le plug-in est installé. Le mécanisme ASLR (Adress Space Layout Randomization) empêche en effet normalement à un malware de reconnaître les données cruciales en mémoire. Une animation spéciale réalisée en Flash permet de contourner la protection.
Le retour de l'équipe Nitro
Si la faille est exploitée avec succès, la machine de l’utilisateur se voit infectée par le malware Poison Ivy. Une découverte réalisée par un chercheur français, Eric Romang. Ce dernier explique sur son blog avoir surveillé de près l’activité des serveurs qui avaient été contaminés par un groupe de pirates nommé Nitro et qui était à l’origine de la vague d’attaques utilisant la faille Java dont nous avons déjà parlée. L’un des serveurs qu’il surveillait le matin du 14 septembre hébergeait un nouveau dossier contenant, entre autres, une animation Flash, dans un dossier qui n'avait pas grand-chose à faire là.
Testée sur une machine Windows XP SP3 à jour avec dernière révision du lecteur Flash, elle a provoqué le téléchargement automatique de plusieurs fichiers. À ce moment, aucun des 42 antivirus testés via VirusTotal ne reconnaît quoi que ce soit dans le fichier exploit.html que l'on trouve dans le fameux répertoire :
Notez que la situation a évolué puisqu’à l’heure où nous écrivons ces lignes, 16 antivirus provoquent une réaction :
Depuis, les développeurs du kit de test Metasploit ont confirmé que la même faille fonctionnait sous Internet Explorer 9, ainsi que sur Vista et Windows 7.
Internet Explorer 10 n'est pas touché
Les premières informations sur cette faille sont apparues dimanche et Microsoft a publié hier une note reconnaissant l’existence de la faille. L’éditeur y donne assez peu d’informations, se contentant d’indiquer qu’un problème existe avec la manière dont Internet Explorer accède à un objet. Il confirme également que les versions 7, 8 et 9 sont touchées, mais pas Internet Explorer 10, que seuls les utilisateurs de Windows 8 peuvent pour l’instant utiliser (jusqu’à ce qu’il soit mis à disposition pour Windows 7).
Microsoft indique également que des études complémentaires sont en cours et que des mesures seront prises en temps utile. Il peut y avoir deux conséquences à cela :
- Soit la situation est décrétée urgente et un patch sera alors prochainement disponible
- Soit la faille peut attendre le prochain cycle de mises à jour prévu pour le mardi 9 octobre
En attendant, la firme recommande aux utilisateurs, surtout ceux d’anciennes versions de Windows, d’installer la version 3.0 de l’EMET (Enhanced Mitigation Experience Toolkit) qui permet d’atténuer les risques.
Tant que la faille n’est pas corrigée, il est également possible de mettre Internet Explorer de côté pour utiliser un autre navigateur à la place, tel que Chrome, Firefox ou Opera.
