Vidéo: Internet Explorer Zero-Day Vulnerability Under Active Attack (Novembre 2024)
Microsoft a publié le mois dernier un "Fix It" corrigeant une vulnérabilité de type "jour zéro" dans les versions antérieures d'Internet Explorer, utilisé pour compromettre les visiteurs du site Web du Council on Foreign Relations.
La vulnérabilité zéro jour est liée à la manière dont IE accède à "un objet mémoire n supprimé ou alloué correctement", a déclaré Microsoft dans un avis de sécurité du 29 décembre. Le problème est présent dans Internet Explorer 6, 7 et 8. Les IE 9 et 10 les plus récents ne sont pas affectés.
Le «correctif» n'est pas un correctif permanent, mais un mécanisme temporaire pouvant être utilisé pour protéger les utilisateurs jusqu'à ce que la mise à jour de sécurité complète soit prête. Microsoft n'a pas révélé si la mise à jour serait prête pour le correctif de janvier, prévu pour le 8 janvier.
"À ce stade, il est vivement recommandé d'appliquer le correctif si vous ne parvenez pas à effectuer la mise à niveau vers Internet Explorer 9 ou 10 ou si vous n'avez pas déjà appliqué l'une des solutions de contournement", a déclaré Johannes Ullrich, du SANS Technology Institute, dans Internet Storm. Blog du centre.
Attaques par téléchargement
Cette faille de sécurité est particulièrement dangereuse car elle peut être exploitée par des attaquants lors d’une attaque de téléchargement. Les victimes qui visitent le site Web piégé seront infectées sans cliquer ou faire quoi que ce soit sur le site.
Des attaquants ont altéré le site Web du Council on Foreign Relations pour exploiter cette faille, ont rapporté des chercheurs de FireEye la semaine dernière. Les visiteurs du site Web du groupe de réflexion sur la politique étrangère ont été infectés par le malware Bifrose, une porte dérobée permettant aux attaquants de voler des fichiers stockés sur l'ordinateur.
Le fait que le site de CFR ait été falsifié implique que les victimes ciblées sont des personnes intéressées par la politique étrangère américaine, a déclaré Alex Horan de CORE Security à SecurityWatch . "Obtenir le contrôle de leurs machines et pouvoir lire tous leurs documents locaux constituerait un trésor d'informations", a déclaré Horan. Les attaques à zéro jour sont "coûteuses" en ce sens qu'elles sont plus difficiles à développer, donc cette cible doit en valoir la peine, a-t-il déclaré.
Les victimes sont actuellement concentrées en Amérique du Nord, ce qui suggère une campagne d'attaques ciblées, a déclaré Symantec Security Response sur son blog.
Le code malveillant servait l'exploit aux navigateurs dont la langue du système d'exploitation était l'anglais (US), le chinois (Chine), le chinois (Taiwan), le japonais, le coréen ou le russe, écrit Darien Kindlund de FireEye.
CFR a peut-être été infecté dès le 7 décembre, a déclaré Chester Wisniewski, conseiller principal en sécurité chez Sophos. Au moins cinq sites Web supplémentaires ont été falsifiés, "suggérant que l'attaque est plus répandue qu'on ne le pensait à l'origine", mais il semble n'y avoir aucun lien évident entre les victimes, a déclaré Wisniewski.
Il n'est pas rare de voir des attaques autour de la saison des vacances, a déclaré à SecurityWatch Ziv Mador, directeur des recherches en matière de sécurité chez Trustwave. "Cela se produit parce que la réponse des fournisseurs de sécurité, du fournisseur de logiciels et de l'équipe informatique de l'entreprise concernée pourrait être plus lente que d'habitude", a déclaré Mador.
Fix It et solutions de contournement
Les utilisateurs qui ne peuvent pas passer à IE 9 ou 10 ou ne peuvent pas appliquer le correctif doivent utiliser un autre navigateur Web jusqu'à ce que le correctif complet soit disponible. Microsoft a également recommandé que les utilisateurs disposent d'un pare-feu et s'assurent que tous les logiciels et produits de sécurité sont entièrement corrigés et mis à jour. Comme cette attaque utilise Java et Flash, Jamie Blasco d'AlienVault a recommandé d'éviter les logiciels tiers dans le navigateur pour le moment.
Bien que Fix It soit facile à appliquer et ne nécessite pas de redémarrage, cela aura "un léger effet sur le temps de démarrage d’Internet Explorer", a déclaré Cristian Craioveanu, membre de l'équipe d'ingénierie de MSRC, sur le blog de MSRC. Lorsque le dernier correctif devient enfin disponible, les utilisateurs doivent désinstaller la solution de contournement pour accélérer à nouveau le temps de démarrage du navigateur.
Cette attaque était "un autre rappel poignant" que travailler sur l'ordinateur en tant qu'utilisateur non administrateur peut rapporter de l'argent dans ces situations, a déclaré Wisniewski. Être un utilisateur non privilégié signifie que les attaquants sont limités dans la quantité de dommages qu'ils peuvent causer.
Pour en savoir plus sur Fahmida, suivez-la sur Twitter @zdFYRashid.
