Vidéo: Уязвимость нулевого дня - 0day в WinRAR (Novembre 2024)
Des chercheurs d'Exodus Intelligence ont indiqué avoir été en mesure de contourner la solution de contournement Fix-It que Microsoft avait publiée lundi pour la dernière vulnérabilité de jour zéro dans Internet Explorer.
Alors que le Fix-It bloquait le chemin d’attaque exact utilisé dans l’attaque contre le site du Council on Foreign Relations, les chercheurs ont été en mesure de "contourner le correctif et de compromettre un système entièrement patché avec une variante de l’exploit", selon le post de vendredi sur le blog Exodus.
Microsoft a été informé du nouvel exploit, selon l'article. Les chercheurs de l'Exodus ont déclaré qu'ils ne divulgueraient aucun détail de leur exploit avant que Microsoft ne corrige le trou.
Le correctif devait être un correctif temporaire pendant que la société travaillait sur le correctif complet pour fermer la mise à jour de sécurité. Microsoft n'a pas précisé quand la mise à jour complète d'Internet Explorer serait disponible et elle ne devrait pas être incluse dans la publication prévue de Patch Tuesday, la semaine prochaine.
Les utilisateurs doivent télécharger et installer la boîte à outils de Microsoft Enhanced Mitigation Experience 3.5 "en tant qu'outil supplémentaire pour défendre vos systèmes Windows contre diverses attaques", a écrit Guy Bruneau du SANS Institute sur le blogue Internet Storm Center. Un post précédent de l’ISC avait montré comment EMET 3.5 pouvait bloquer les attaques visant la vulnérabilité d’IE.
Plus de sites compromis trouvés
Les chercheurs de FireEye ont d'abord identifié la faille du jour zéro lorsqu'ils ont découvert que le site Web du Council on Foreign Relations avait été compromis et servait des fichiers Flash malveillants à des visiteurs sans méfiance. Il s'avère qu'un certain nombre d'autres sites politiques, sociaux et relatifs aux droits de l'homme aux États-Unis, en Russie, en Chine et à Hong Kong ont également été infectés et diffusaient des logiciels malveillants.
L’attaque du CFR a peut-être commencé dès le 7 décembre, a déclaré FireEye. Les attaquants ont utilisé today.swf, un fichier Adobe Flash illicite, pour lancer une attaque par atomisation de tas contre IE qui permettait à l'attaquant d'exécuter du code à distance sur l'ordinateur infecté.
Selon des chercheurs d'Avast, deux sites de droits de l'homme chinois, un site de journal de Hong Kong et un site scientifique russe, ont été modifiés pour distribuer un fichier Flash exploitant cette vulnérabilité dans Internet Explorer 8. Le chercheur en sécurité Eric Romang a découvert la même attaque sur le site du fabricant de microturbines énergétiques Capstone Turbine Corporation, ainsi que sur le site du groupe dissident chinois Uygur Haber Ajanski. La turbine Capstone pourrait avoir été infectée dès le 17 décembre.
En septembre, Capstone Turbine avait été modifié pour distribuer des logiciels malveillants exploitant une autre vulnérabilité de type «jour zéro», a déclaré Romang.
"Les gars derrière CVE-2012-4969 et CVE-2012-4792 sont potentiellement identiques", a écrit Romang.
Les chercheurs de Symantec ont lié les dernières attaques au groupe Elderwood, qui avait déjà utilisé d'autres failles du jour zéro pour lancer des attaques similaires. Le groupe a réutilisé des composants de la plate-forme "Elderwood" et distribué des fichiers Flash similaires à ses victimes, a déclaré Symantec. Le fichier Flash malveillant qui a infecté les visiteurs de Capston Turbine présentait plusieurs similitudes avec le fichier Flash précédemment utilisé par le gang Elderwood lors d’autres attaques, a déclaré Symantec.
"Il est devenu clair que le groupe derrière le projet Elderwood continue de produire de nouvelles vulnérabilités« jour zéro »pour les attaques contre des trous d'eau et nous prévoyons qu'il continuera de le faire au cours de la nouvelle année», a déclaré Symantec.