Microsoft a confirmé hier soir une faille de type 0day dans les versions 9 et 10 de son navigateur Internet Explorer. La vulnérabilité est déjà exploitée et tandis que la firme travaille à un correctif, elle recommande à ceux qui le peuvent de migrer vers Internet Explorer 11, qui n’est pas concerné.
Internet Explorer 11 sous Windows 7 et 8.1 n'est pas concerné
Une faille déjà exploitée
La faille a été découverte par FireEye dans le site vfw.org, consacré aux « Veterans of Foreign Wars ». Selon les recherches effectuées, le site a été compromis par les pirates qui ont pu ainsi y glisser un élément iframe pour faire appel à une page située sur un autre site. C’est cette dernière qui contenait l’attaque proprement dite. Une fois la faille exploitée, le système de la victime recevait un malware.
Pour être plus précis, la page appelée depuis l’élément iframe contenait un objet Flash. La technologie d’Adobe n’est pas en cause mais l’objet était utilisé pour déclencher l’exploitation de la faille via ActionScript. Initialement, la faille n’a été démontrée que pour Internet Explorer 10, qu’on ne trouve que sous Windows 7 et 8. Notez que FireEye indiquait ne pas savoir quel site était exactement appelé par l’élément iframe mais une autre société de sécurité, Seculert, a fini par apporter cette précision : aliststatus.com.
Un certain degré de sophistication
Pour FireEye, ceux qui se tiennent derrière cette attaque sont probablement les mêmes qui ont réalisé deux autres opérations basées sur des failles 0day. Il s’agit clairement de pirates expérimentés car l’exploitation de la faille passe par la modification d’une donnée résidant dans une adresse mémoire bien précise. Or, ce type d’opération est rendu quasiment impossible par la gestion du mécanisme ASLR (Address Space Layout Randomization) qui, comme son nom l’indique, fait en sorte que les éléments importants d’un logiciel ne résident jamais au même endroit en mémoire. FireEye explique que les pirates ont donc réussi à contourner ce mécanisme, qu’on retrouve d’ailleurs dans la majorité des navigateurs aujourd’hui.
FireEye a nommé l’opération « SnowMan » et pense que les similitudes avec d’autres opérations (« Deputy Dog » et « Ephemeral Hydra ») sont assez troublantes. Par exemple, le téléchargement du malware commence par un fichier JPG dont la fin contient effectivement la partie nocive. C’est cette dernière qui fait appel au code Flash, qui à son tour va déclencher le téléchargement du malware lui-même. D’autres éléments sont semblables pour FireEye : l’utilisation d’une faille 0day pour récupérer un cheval de Troie, l’utilisation de pages web compromises comme vecteur d’attaque ou encore l’utilisation d’un déclencheur déguisé en image au format JPG.
Ces différentes attaques ont permis aux pirates d’infecter des machines qui n’ont pas grand-chose à voir avec l’ordinateur de monsieur Tout le monde. Des postes ont ainsi été infectés dans des entités du gouvernement américain, des firmes japonaises, des entreprises militaires, des cabinets d’avocats ou encore de grandes sociétés technologiques. Autant de cibles qui laissent à penser que l’objectif global est le vol d’informations.
Migrer vers Internet Explorer 11 si possible
Interrogée au sujet de cette faille, Microsoft a répondu qu’elle était au courant d’une « attaque limitée et très ciblée contre Internet Explorer 9 et 10 » confirmant d’ailleurs à ce moment-là que la version plus ancienne était elle aussi touchée. La firme a également indiqué que durant l’enquête sur la faille et le développement d’un correctif adapté, les utilisateurs pouvaient migrer vers Internet Explorer 11. À ceci près que même si cette version (celle apparue avec Windows 8.1) est effectivement disponible pour Windows 7 et 8, elle ne l’est pas pour Vista par exemple.
Concernant les utilisateurs qui ne pourraient pas migrer vers Internet Explorer 11, la solution est relativement simple : utiliser un autre navigateur tel que Firefox ou Chrome, le temps que Microsoft corrige le tir. Notez d’ailleurs que l’éditeur n’a fourni aucun calendrier pour le correctif. Puisque la faille est déjà exploitée, il se pourrait qu’un sparadrap numérique soit diffusé en dehors du cycle mensuel classique.
Commentaires (53)
#1
Comment faire quand sa société est toujours avec IE 8 ?
" />
#2
Je serais curieux de savoir depuis quand cette faille est exploitée
" />
#3
Concernant les utilisateurs qui ne pourraient pas migrer vers Internet Explorer 11, la solution est relativement simple : utiliser un autre navigateur tel que Firefox ou Chrome, le temps que Microsoft corrige le tir
pourquoi ne pas plutôt recommander la solution plus simple et plus sécurisée qui consiste à installer EMET?
http://www.microsoft.com/en-us/download/details.aspx?id=41138
c’est bien plus simple que de changer de navigateur web (la config de protection d’IE, chrome, firefox, adobe reader, java se fait toute seule par défaut lorsqu’on installe EMET4.x)
et c’est également plus sûr.
EMET applique des protections mémoires supplémentaires de manière à casser le fonctionnement des exploits 0day, et à rendre leur création encore plus compliquée.
même si vous utilisez IE11 ou firefox/chrome, installer EMET est bénéfique. A ce jour il n’y a jamais eu d’exploit 0day en liberté qui fonctionne lorsque EMET est installé.
l’exploit dont il est question dans cette news ne fonctionne donc pas si EMET est présent.
#4
Comment faire quand sa société est toujours avec IE 8 ?
IE8 n’est pas affecté, seulement IE9/10.
Je serais curieux de savoir depuis quand cette faille est exploitée
http://www.fireeye.com/blog/uncategorized/2014/02/operation-snowman-deputydog-ac…
d’après ceux qui ont analysé l’exploit, la mise en place date du 11 février.
#5
[quote:4916366:Naej]Comment faire quand sa société est toujours avec IE 8 ?
qu’elles ont de la chance, chez moi c’est encore un IE 6 :-) … et ce n’est pas une petite boite
alex
#6
IE11
Impossible pour mon prestataire ne supporte que IE10 pour l’instant.
#7
#8
#9
Concernant les utilisateurs qui ne pourraient pas migrer vers Internet Explorer 11, la solution est relativement simple : utiliser un autre navigateur tel que Firefox ou Chrome, le temps que Microsoft corrige le tir
#10
#11
#12
#13
#14
je viens de l’installer, c’est vraiment efficace ou c’est du flanc?
oui c’est efficace. A choisir entre un antivirus et EMET, c’est EMET qui représente la meilleure défense contre les failles 0day et les exploits aux variantes inconnues.
la faille existe toujours tant que le navigateur n’est pas patché, par contre elle devient beaucoup plus compliquée à exploiter.
si un hacker veut développer un exploit pour exploiter la faille malgré la présence d’EMET sur le système de la victime, ça implique qu’il contourne également les autres protections mémoire que EMET met en place sur le processus du navigateur, ce qui peut se révéler impossible pour la plupart des hackers.
en gros, pour simplifier, EMET permet de bloquer la plupart des techniques connues de contournement de ASLR et DEP.
les futures versions de Windows supporteront certainement ces protections nativement, mais en attendant, Microsoft les met a disposition sous la forme d’une appli à installer, EMET, sachant qu’il est possible que certains plugins ou applis ne fonctionnent plus correctement si certaines protections sont actives. Voila pourquoi MS ne diffuse pas EMET sous forme d’une maj automatique sur Windows update.
#15
C’est quoi Internet Explorer ?
" />
#16
#17
Puisque la faille est déjà exploitée, il se pourrait qu’un sparadrap numérique soit diffusé en dehors du cycle mensuel classique.
Expression bien imagée, j’aime bien
#18
#19
Je viens de passer à IE11 et il n’y a aucun changement au niveau du design par rapport à la version 10 ?
" />
" />
(Bon après y’a p’tet des petits trucs que je n’ai pas remarqué car ça n’est pas mon navigateur principal, mais quand même)
#20
#21
#22
Je veux bien passer à internet explorer 11 mais je suis bloqué à la version 9.
La 10 et la 11 ne veulent pas s’installer. J’ai essayé toutes les solutions de microsoft ainsi que celles sur les forums. Rien n’y fait…
#23
#24
Même pas
" />
Je sais que vista c’est ie 9 max mais moi, je suis sous 7 home premium sp1…
#25
#26
#27
J’ai ecrit un ptit article pour expliquer EMET pour ceux qui se demandent ce que c’est:
http://www.julien-manici.com/blog/EMET-protection-against-flaws-Internet-Explore…
On sait si ça a un impact sur les perfs ?
non, pas d’impact visible.
contrairement aux antivirus.
Je veux bien passer à internet explorer 11 mais je suis bloqué à la version 9.
La 10 et la 11 ne veulent pas s’installer. J’ai essayé toutes les solutions de microsoft ainsi que celles sur les forums. Rien n’y fait…
si tu peux, formate.
sinon tu risques d’avoir des pbs plus grave, genre maj de securité qui s’installent pas, puisqu’il y a visiblement un soucis avec ton install de win7.
#28
Je suis d’accord qu’EMET peut être utile, mais il ne remplace ni un antivirus, ni les maj de l’OS. Mais en complément, il peut aider beaucoup à la sécurité.
Si je comprends bien, pour ajouter les autres logiciels (ie. à part ceux de MS, Adobe et Oracle), il faut choisir le fichier “Popular Software.xml” au lieu de “Recommended Software.xml” ? Et si le logiciel ne fait pas parti de la liste, il faut l’ajouter manuellement dans le fichier ?
#29
Je suis d’accord qu’EMET peut être utile, mais il ne remplace ni un antivirus, ni les maj de l’OS. Mais en complément, il peut aider beaucoup à la sécurité.
qui a prétendu le contraire?
cela dit, à choisir entre un antivirus et EMET, je choisirais EMET.
du moment que tu as applocker activé (ou meme le contrôle parental de windows avec blocage des applis non approuvées), il n’y a pas de raison d’utiliser un antivirus.
par contre les patchs de sécurité sont bien entendu indispensables. EMET est juste une solution qui permet de réduire les risques, pas de les éviter indéfiniment.
Si je comprends bien, pour ajouter les autres logiciels (ie. à part ceux de MS, Adobe et Oracle), il faut choisir le fichier “Popular Software.xml” au lieu de “Recommended Software.xml” ?
oui
Et si le logiciel ne fait pas parti de la liste, il faut l’ajouter manuellement dans le fichier
non, pas besoin d’éditer le fichier à la main, suffit d’utiliser l’interface graphique pour rajouter des applis à la liste des applis à protéger en partant d’une des listes de base.
après tu peux exporter en xml pour déployer sur une autre machine. Ya même des applis en ligne de commande pour les admin pour configurer EMET via un script.
cela dit la config xml applis populaires est suffisante. Pas besoin de rajouter tous ses logiciels à la main.
#30
#31
#32
#33
[quote:4916691:jmanici]J’ai ecrit un ptit article pour expliquer EMET pour ceux qui se demandent ce que c’est:
" />
" />
" />
http://www.julien-manici.com/blog/EMET-protection-against-flaws-Internet-Explore…[quote]
… je tiens à te remercier pour cet article, qui montre non seulement ta connaissance d’EMET, mais aussi ta parfaire maitrise de la langue anglaise …
Tu m’as convaincu, et je vais installer EMET de ce pas, en plus de mon Avira + Malwarebytes + Comodo Firewall + NoScript + Ghostery + Edgeblock + KeyScrambler … si avec tout ça je me choppe une inondation, ce sera à désespérer de la technologie de protection …
J’en profite, car tu évoques le problème, pour poser la question de savoir si il y a une solution pour télécharger et installer les mises à jour de sécurité de Windows Update sans passer par Microsoft …?
En effet, depuis le mois d’aout, j’ai toujours le même code d’erreur (8024402C) chaque fois que je veux exécuter Windows Update …
J’ai essayé toutes les solutions proposées par Microsoft, y compris désactiver mon antivirus, parefeu etc … (j’aime pas bien aller sur le net sans eux, mais bon …) sans résultat (… to no avail …)
D’avance merci à qui voudra bien éclairer ma lanterne …
#34
#35
#36
je tiens à te remercier pour cet article, qui montre non seulement ta connaissance d’EMET, mais aussi ta parfaire maitrise de la langue anglaise
:-)
J’en profite, car tu évoques le problème, pour poser la question de savoir si il y a une solution pour télécharger et installer les mises à jour de sécurité de Windows Update sans passer par Microsoft …?
En effet, depuis le mois d’aout, j’ai toujours le même code d’erreur (8024402C) chaque fois que je veux exécuter Windows Update …
j’imagine que tu as deja testé ça:
http://www.sevenforums.com/tutorials/91738-windows-update-reset.html
cela dit, même si tu arrives à résoudre ton problème de WU, je te recommande une réinstallation de Windows, car d’après ce que tu dis tu es resté 5mois sans MAJ de sécurité. Même si tu n’utilises pas IE et que tu as plein d’outils de sécurité, le risque que tu sois déjà infecté n’est pas négligeable.
sinon pour répondre à ta question, il y a 10ans j’utilisais MBSA :
http://www.microsoft.com/en-us/download/details.aspx?id=7558
ça fait un bail que je l’ai pas utilisé, mais apparemment il a été mis a jour pour supporter les Windows actuels. A l’époque je m’en servais pour récupérer la liste des updates manquantes sur le système. Mais si ton Windows update marche pas, je sais pas si cet outil marchera, vu qu’il utilise peut être certains composants de Windows update en interne. A voir!
#37
#38
Suis persuadé que suite à une “erreur de casting” de ma part j’ai interdit l’accès à NetFramework que j’ai fait bloquer par Comodo, faut juste que je trouve comment le rendre à nouveau activable, car pour l’instant je patauge dans les settings de Comodo …
normalement Windows update utilise les paramètres d’internet explorer. Si IE peut accéder à internet, WU doit pouvoir lui aussi.
je pense pas que ton bloquage de .net soit le cause de ton pb, vu que .net est un composant optionnel de Windows.
Je vais tester ton MBSA, uniquement dispo en allemand pour OS en 32 bits comme mon 7, ça va m’obliger à réviser la langue de Goethe …
euh sur le site de MS il est dispo en anglais, français, allemand, ou japonais
http://www.microsoft.com/en-us/download/details.aspx?id=7558
#39
… hélas non, le seul dispo pour 32 bits est celui ci:
MBSASetup-x86-DE.msi
#40
… hélas non, le seul dispo pour 32 bits est celui ci:
MBSASetup-x86-DE.msi
tu as loupé la scrollbar? Ou elle n’apparait pas dans ton navigateur?
suffit de scroller, juste en dessous de la version allemande ya les autres.
http://download.microsoft.com/download/8/E/1/8E16A4C7-DD28-4368-A83A-282C82FC212…
cela dit, je viens de lire l’article sur mbsa et comme je le craignais, il s’appuie sur WU pour fonctionner. Donc ça ne marchera probablement pas.
mais ca coute rien de tester…
#41
#42
#43
… ça a marché quand même … et je crois avoir trouvé comment accéder aux mises à jour sans passer par Windows Update …
" />
" />
http://technet.microsoft.com/fr-fr/security/bulletin/
Many THX to you mate …
#44
et je crois avoir trouvé comment accéder aux mises à jour sans passer par Windows Update …
oui effectivement il y a la possibilité de regarder manuellement chaque bulletin de sécurité publié ces derniers mois, mais c’est laborieux.
mais MBSA est sensé te dire exactement quels patchs sont manquants, et te donner le lien pour les récupérer. Si ça marche, c’est plus facile, et au moins t sûr de rien avoir oublié
#45
… ben je viens de me taper 3 pages de mises à jour, depuis aout, y compris pour le pack Office …
" />
" />
Reste plus qu’à installer le tout …
I really wish there were more helpful and competent guys like you man …
#46
#47
Faille 0day dans Internet Exploder, Mozilla recommande de passer à Firefox.
#48
#49
Les utilisateurs pouvaient migrer vers Internet Explorer 11. À ceci près que même si cette version (…) est effectivement disponible pour Windows 7 et 8
Internet Explorer 11 n’estpas disponible pour Windows 8.
#50
Ça y est j’ai fais la mise à jour je suis passé à Opéra 19!
" />
#51
je viens de lire un paquet de commentaire et je me dit que pour utiliser IE et maintenir son Windows sécurisé , faut avoir bac+12
" />
#52
#53