Vidéo: Internet Explorer Zero-Day Vulnerability Under Active Attack (Novembre 2024)
Fin avril, des chercheurs en sécurité ont découvert un exploit dans Internet Explorer 8 permettant aux attaquants d’exécuter du code malveillant sur l’ordinateur de la victime. Plus troublant encore, l'exploit a été découvert dans la nature sur un site Web du Département du travail des États-Unis (DoL), ciblant peut-être les travailleurs ayant accès au nucléaire ou à d'autres matières toxiques. Ce week-end, Microsoft a confirmé qu'il s'agissait d'un nouveau jour zéro dans IE 8.
L'exploit
Microsoft a publié vendredi un avis de sécurité confirmant l'exploit d'Internet Explorer 8 CVE-2013-1347, indiquant que les versions 6, 7, 9 et 10 n'étaient pas affectées.
"Il s'agit d'une vulnérabilité d'exécution de code à distance", a écrit Microsoft. "La vulnérabilité existe dans la manière dont Internet Explorer accède à un objet en mémoire qui a été supprimé ou qui n’a pas été alloué correctement. Cette vulnérabilité peut corrompre la mémoire de manière à permettre à un attaquant d’exécuter du code arbitraire dans le contexte de l’utilisateur actuel dans Internet Explorer."
"Un attaquant pourrait héberger un site Web spécialement conçu pour exploiter cette vulnérabilité via Internet Explorer, puis inciter un utilisateur à consulter ce site Web", écrit Microsoft. Malheureusement, cela semble avoir déjà eu lieu.
Dans la nature
L'exploit a été remarqué pour la première fois fin avril par la société de sécurité Invincea. Ils ont noté que le site Web de DoL semblait orienter les visiteurs vers un autre site Web où une variante du cheval de Troie Poison Ivy était installée sur le périphérique de la victime.
AlienVault Labs a écrit que, même si le logiciel malveillant effectuait un certain nombre d'activités, il analysait également l'ordinateur de la victime pour déterminer le type de virus présent, le cas échéant. Selon AlienVault, le programme malveillant a vérifié si les logiciels Avira, Bitdefneder, McAfee, AVG, Eset, Dr. Web, MSE, Sophos, F-secure et Kasperky, entre autres.
Craig Williams écrit sur le blog de Cisco: "Ces informations seront probablement utilisées pour faciliter et garantir le succès d'attaques futures".
S'il est difficile de dire quelles sont les motivations derrière l'attaque DoL, l'exploit semble avoir été déployé avec certaines cibles en tête. Williams a qualifié cette attaque d’attaque: un site Web populaire est modifié pour infecter les visiteurs entrants, comme l’attaque contre les développeurs que nous avons vue plus tôt cette année.
Alors que la DoL était la première étape de l'attaque, il semble possible que les objectifs réels aient été atteints par le ministère de l'Énergie, en particulier les employés ayant accès à des matières nucléaires. AlienVault écrit que le site Web des matrices d'exposition sur le site, qui héberge des informations sur la rémunération des employés pour l'exposition à des substances toxiques, était impliqué.
Williams a écrit: "Les visiteurs de pages spécifiques hébergeant du contenu relatif au nucléaire sur le site Web du Département du Travail recevaient également un contenu malveillant chargé à partir du domaine dol.ns01.us." Le site DoL en question a depuis été réparé.
Soyez prudent là-bas
L'avis de Microsoft indique également que les victimes devraient être attirées vers un site Web pour que l'exploit soit efficace. "Dans tous les cas, cependant, un attaquant n'aurait aucun moyen de forcer les utilisateurs à visiter ces sites Web", écrit Microsoft.
Comme il est possible qu'il s'agisse d'une attaque ciblée, la plupart des utilisateurs ne rencontreront probablement pas l'exploit eux-mêmes. Toutefois, s’il est utilisé par un groupe d’attaques, il est probable que les autres aient également accès au nouvel exploit. Comme toujours, méfiez-vous des liens étranges et des offres trop belles pour être vraies. Dans le passé, les assaillants ont utilisé des tactiques d'ingénierie sociale telles que le détournement de comptes Facebook pour diffuser des liens malveillants ou la création de courriels par les membres de leur famille. C'est une bonne idée de donner à chaque lien un test de reniflement.
Microsoft n'a pas annoncé quand ni comment l'exploit sera adressé.
