Vidéo: LA MEILLEURE MISE À JOUR 1.2.0 (JOUR DE LA NATURE: BUISSON DÉCORATION🌳) ANIMAL CROSSING NEW HORIZONS (Novembre 2024)
Des attaquants de la société de sécurité FireEye ont averti que des pirates exploitaient d'importantes vulnérabilités dans Internet Explorer lors d'une attaque à mortier. Les utilisateurs amenés à accéder au site Web infecté sont attaqués par des logiciels malveillants qui infectent la mémoire de l'ordinateur lors d'une attaque au volant classique.
Les attaquants ont intégré le code malveillant qui exploite au moins deux failles du jour zéro d'Internet Explorer dans "un site Web d'importance stratégique, connu pour attirer les visiteurs susceptibles de s'intéresser à la politique de sécurité nationale et internationale", a déclaré FireEye dans son analyse de la semaine dernière. FireEye n'a pas identifié le site à part le fait qu'il était basé aux États-Unis.
«L’exploit exploite une nouvelle vulnérabilité de fuite d’informations et une vulnérabilité d’accès à la mémoire hors-jeu d’IE pour réaliser l’exécution de code», ont écrit des chercheurs de FireEye. "C'est une vulnérabilité qui est exploitée de différentes manières."
Les vulnérabilités sont présentes dans Internet Explorer 7, 8, 9 et 10, fonctionnant sous Windows XP ou Windows 7. Alors que l’attaque en cours vise la version anglaise d’Internet Explorer 7 et 8 exécutée à la fois sur Windows XP et Windows 8, l’exploit pourrait être modifié pour cibler d’autres versions et langues, a déclaré FireEye.
APT inhabituellement sophistiqué
FireEye a déclaré que cette campagne de menace persistante avancée (APT) utilise certains des mêmes serveurs de commande et de contrôle que ceux utilisés lors des précédentes attaques de l'APT contre des cibles japonaises et chinoises, connues sous le nom d'Opération DeputyDog. FireEye a constaté que cet APT est particulièrement sophistiqué car il distribue une charge malveillante qui s'exécute uniquement dans la mémoire de l'ordinateur. Comme il ne s’écrit pas lui-même sur le disque, il est beaucoup plus difficile de détecter ou de trouver des preuves médico-légales sur des ordinateurs infectés.
"En utilisant des compromis stratégiques sur le Web, ainsi que des tactiques de livraison de la charge utile en mémoire et de multiples méthodes d'embouteillage imbriquées, cette campagne s'est avérée exceptionnellement aboutie et insaisissable", a déclaré FireEye.
Toutefois, comme le logiciel malveillant sans disque réside entièrement en mémoire, il suffit de redémarrer l'ordinateur pour supprimer l'infection. Les attaquants ne semblent pas craindre d'être persistants, ce qui suggère que les attaquants sont "confiants que leurs cibles visées revisiteraient simplement le site Web compromis et seraient réinfectés", ont écrit les chercheurs de FireEye.
Cela signifie également que les pirates se déplacent très rapidement, car ils doivent se déplacer sur le réseau pour atteindre d'autres cibles ou trouver les informations qui les intéressent avant que l'utilisateur ne redémarre l'ordinateur et supprime l'infection. "Une fois que l'attaquant obtient les privilèges et qu'il augmente ses privilèges, il peut déployer de nombreuses autres méthodes pour établir la persistance", a déclaré Ken Westin, chercheur en sécurité chez Tripwire.
Les chercheurs de la société de sécurité Triumfant ont revendiqué une augmentation du nombre de logiciels malveillants sans disque et ont qualifié ces attaques de «menaces volatiles avancées».
Pas lié à une faille de bureau
La dernière vulnérabilité «jour zéro» d’Internet Explorer survient après une faille critique de Microsoft Office également rapportée la semaine dernière. La faille dans la façon dont Microsoft Windows et Office accèdent aux images TIFF n’est pas liée à ce bogue Internet Explorer. Alors que les attaquants exploitent déjà le bogue Office, la plupart des cibles se trouvent actuellement au Moyen-Orient et en Asie. Les utilisateurs sont invités à installer le FixIt, qui limite la capacité de l'ordinateur à ouvrir des graphiques, dans l'attente d'un correctif permanent.
FireEye a informé Microsoft de la vulnérabilité, mais Microsoft n'a pas encore commenté publiquement cette vulnérabilité. Il est extrêmement improbable que ce bogue soit traité à temps pour la publication du correctif mardi de demain.
La dernière version de Microsoft EMET, Enhanced Mitigation Experience Toolkit, bloque avec succès les attaques ciblant les vulnérabilités d'IE, ainsi que celle d'Office. Les organisations devraient envisager d'installer EMET. Les utilisateurs peuvent également envisager de passer à la version 11 d'Internet Explorer ou utiliser des navigateurs autres qu'Internet Explorer jusqu'à ce que le bogue soit corrigé.
Problèmes XP
Cette dernière campagne de points d’arrosage met également en évidence la manière dont les attaquants ciblent les utilisateurs de Windows XP. Microsoft a rappelé à plusieurs reprises aux utilisateurs qu'il cesserait de fournir des mises à jour de sécurité pour Windows XP après avril 2014 et qu'ils devaient effectuer une mise à niveau vers les versions les plus récentes du système d'exploitation. Les chercheurs en sécurité pensent que de nombreux attaquants sont assis sur des caches de vulnérabilités XP et qu’il y aura une vague d’attaques visant Windows XP après que Microsoft aura cessé de prendre en charge le système d’exploitation vieillissant.
"Ne tardez pas. Mettez à niveau votre version de Windows XP dès que possible si vous accordez une grande importance à votre sécurité", a écrit sur son blog Graham Cluley, chercheur indépendant dans le domaine de la sécurité.
