Alors que Microsoft a déjà dû réagir rapidement sur une faille touchant plusieurs produits, la firme fait face à une autre situation problématique avec plusieurs brèches dans Internet Explorer, déjà exploitées à grande échelle à l’heure actuelle. Même si le correctif sera déployé ce soir, les attaques ont déjà fait des dégâts.
Internet Explorer 11 dans Windows 8.1 n'est pas touché
Une faille critique pour plusieurs versions du navigateur
Les chercheurs de FireEye ont découvert plusieurs failles critiques déjà exploitées dans Internet Explorer. Les versions concernées vont de la 7 à la 10, affectant ainsi cinq systèmes d’exploitation : Windows XP, Vista, Windows 7, Windows 8 et Windows RT. Différentes de la faille déjà présente dans certains produits tels qu’Office, Lync et Vista, elles sont pourtant déjà exploitées activement.
Selon FireEye, ces failles sont associées pour permettre des attaques relativement élaborées. Une faille permet ainsi d’obtenir un certain contrôle sur la mémoire centrale tandis qu’une seconde autorise l’attaquant à obtenir des informations depuis cette mémoire. L’assemblage des deux brèches est effectif sur Windows XP à 7, ce qui signifie, puisque l’on parle d’Internet Explorer, que les protections mises en place dans Vista et accentuées dans Windows 7 sont contournées. En outre, bien que les attaques visent a priori la version anglaise du navigateur, FireEye estime qu’elles pourraient très facilement être adaptées pour prendre en compte d’autres langues.
Des attaques plus sophistiquées que prévu
Mais si les premières informations faisaient déjà état vendredi d’attaques relativement perfectionnées, de nouvelles publiées dimanche indiquent que le niveau de technicité est supérieur à ce qui avait été estimé. Ainsi, les auteurs ont intégré un code exploitant les failles au sein d’un site américain particulièrement fréquenté et attirant les internautes intéressés par les politiques de sécurité nationale et internationale.
Plusieurs points importants sont ainsi à souligner. Les attaques sont pilotées par plusieurs serveurs C&C (Command & Control) qui ont déjà été utilisés dans une campagne d’attaques connue sous le nom d’opération « DeputyDog ». Les malwares utilisés ne sont pas neufs non plus, mais des variantes de plusieurs ayant déjà été rencontrés ailleurs : Hydraq, McRat et Trojan.APT.9002. Elles ont d’ailleurs la particularité d’être uniquement résidants en mémoire et de ne jamais s’écrire sur le disque dur.
Les protections d'Internet Explorer et de Windows contournées
Pour FireEye, l’attaque est particulièrement « furtive » et est la preuve du talent de ses auteurs. La preuve ? Le fait que ces mêmes auteurs aient pu traverser certaines défenses. Pour la société de sécurité, il se pourrait bien que ces failles aient été découvertes depuis un certain temps car l’attaque montre qu’elle a soigneusement été préparée depuis longtemps. Les compétences des pirates sont élevées puisqu’ils ont été capables d’utiliser un réseau de plusieurs failles pour contourner des protections considérées comme fortes.
Microsoft est en fait nécessairement au courant de la situation depuis au moins plusieurs semaines. En effet, les failles utilisées par les attaquants dans Internet Explorer seront corrigées ce soir dans le lâché mensuel de correctifs via Windows Update. Elles correspondent au bulletin 3 publié mardi dernier (Microsoft publie certaines informations sur ses bulletins une semaine avant leur arrivée) et qui concerne de nombreux Windows, y compris Windows RT. On remarquera qu'Internet Explorer 11 n'est pas concerné, et ceux qui ont effectué la mise à jour Windows 8.1 ne sont donc pas touchés, ainsi que ceux qui ont déjà installé le nouveau navigateur sous Windows 7. En outre, bien que le correctif concerne Internet Explorer 10, aucune exploitation des failles sur cette version en particulier n'a été recensée.
FireEye note que l’installation du kit EMET (Enhanced Mitigation Experience Toolkit) de Microsoft permet effectivement de bloquer l’exploitation des failles. L’efficacité est totale si l’on modifie deux comportements d’Internet Explorer : les zones Internet et Intranet local doivent être placées en sécurité haute, et il faut activer la demande systématique avant d’exécuter tout contenu Active Scripting ou contrôle ActiveX.
