Connexion
Abonnez-vous

Internet Explorer 7, 8 et 9 touchés par une faille 0-day sur tous les Windows

Le lecteur Flash utilisé en infanterie

Internet Explorer 7, 8 et 9 touchés par une faille 0-day sur tous les Windows

Le 18 septembre 2012 à 14h16

Une nouvelle faille pour Internet Explorer a été trouvée. Elle est de type 0-day, c’est-à-dire déjà exploitée lors de sa découverte ou de son annonce. Cependant, bien que la brèche du navigateur soit bien réelle, son exploitation requiert la présence de Flash dans certains cas.

internet explorer faille internet explorer faille

Internet Explorer 7, 8 et 9 touchés sous Windows XP, Vista et 7

Internet Explorer est donc affecté par une faille critique qui peut être exploitée à distance. Sa dangerosité réside d’ailleurs dans la méthode même d’exploitation : un utilisateur n’a qu’à visiter un site web préalablement contaminé. Comme toujours, ces sites peuvent être eux-mêmes malveillants ou avoir été modifiés silencieusement.

 

La faille touche les trois versions du navigateur de Microsoft, à savoir Internet Explorer 7, 8 et 9. Concernant les systèmes d’exploitation eux-mêmes, là encore il s’agit des trois dernières moutures : Windows XP, Vista et 7. Cependant, dans le cas des deux derniers, l’exploitation n’est possible que si le plug-in est installé. Le mécanisme ASLR (Adress Space Layout Randomization) empêche en effet normalement à un malware de reconnaître les données cruciales en mémoire. Une animation spéciale réalisée en Flash permet de contourner la protection.

Le retour de l'équipe Nitro

Si la faille est exploitée avec succès, la machine de l’utilisateur se voit infectée par le malware Poison Ivy. Une découverte réalisée par un chercheur français, Eric Romang. Ce dernier explique sur son blog avoir surveillé de près l’activité des serveurs qui avaient été contaminés par un groupe de pirates nommé Nitro et qui était à l’origine de la vague d’attaques utilisant la faille Java dont nous avons déjà parlée. L’un des serveurs qu’il surveillait le matin du 14 septembre hébergeait un nouveau dossier contenant, entre autres, une animation Flash, dans un dossier qui n'avait pas grand-chose à faire là.

 

faille


Testée sur une machine Windows XP SP3 à jour avec dernière révision du lecteur Flash, elle a provoqué le téléchargement automatique de plusieurs fichiers. À ce moment, aucun des 42 antivirus testés via VirusTotal ne reconnaît quoi que ce soit dans le fichier exploit.html que l'on trouve dans le fameux répertoire :

 

faille

 

Notez que la situation a évolué puisqu’à l’heure où nous écrivons ces lignes, 16 antivirus provoquent une réaction :

 

faille

 

Depuis, les développeurs du kit de test Metasploit ont confirmé que la même faille fonctionnait sous Internet Explorer 9, ainsi que sur Vista et Windows 7.

Internet Explorer 10 n'est pas touché

Les premières informations sur cette faille sont apparues dimanche et Microsoft a publié hier une note reconnaissant l’existence de la faille. L’éditeur y donne assez peu d’informations, se contentant d’indiquer qu’un problème existe avec la manière dont Internet Explorer accède à un objet. Il confirme également que les versions 7, 8 et 9 sont touchées, mais pas Internet Explorer 10, que seuls les utilisateurs de Windows 8 peuvent pour l’instant utiliser (jusqu’à ce qu’il soit mis à disposition pour Windows 7).

 

Microsoft indique également que des études complémentaires sont en cours et que des mesures seront prises en temps utile. Il peut y avoir deux conséquences à cela :

  • Soit la situation est décrétée urgente et un patch sera alors prochainement disponible
  • Soit la faille peut attendre le prochain cycle de mises à jour prévu pour le mardi 9 octobre

En attendant, la firme recommande aux utilisateurs, surtout ceux d’anciennes versions de Windows, d’installer la version 3.0 de l’EMET (Enhanced Mitigation Experience Toolkit) qui permet d’atténuer les risques.

 

Tant que la faille n’est pas corrigée, il est également possible de mettre Internet Explorer de côté pour utiliser un autre navigateur à la place, tel que Chrome, Firefox ou Opera.

Commentaires (27)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Et pour les lycées/collèges qui n’ont pas firefox/chrome d’installé mais encore les vieilles versions d’IE, ils risquent quoi sachant que tout est relié au réseau interne de l’établissement, c’est tout le réseau qui prend, et donc aussi ce qui est stocké dessus ?

votre avatar







ITI a écrit :



Et pour les lycées/collèges qui n’ont pas firefox/chrome d’installé mais encore les vieilles versions d’IE, ils risquent quoi sachant que tout est relié au réseau interne de l’établissement, c’est tout le réseau qui prend, et donc aussi ce qui est stocké dessus ?





Ceux là sont généralement déjà vérolés jusqu’à la moelle…


votre avatar







ITI a écrit :



Et pour les lycées/collèges qui n’ont pas firefox/chrome d’installé mais encore les vieilles versions d’IE, ils risquent quoi sachant que tout est relié au réseau interne de l’établissement, c’est tout le réseau qui prend, et donc aussi ce qui est stocké dessus ?







vu qu’ils n’installent pas les maj de sécurité en general, ça ne change pas grand chose à la situation habituelle.



Et puis pas besoin de failles dans un navigateur pour poser des problèmes potentiels: quasiment toutes les machines (ou comptes utilisateurs) sont infectées par les clefs USB infectées que ramènent les élèves. Donc entre un malware qui provient d’une clef usb ou un malware qui provient d’un site vérolé, aucune différence.


votre avatar

Ah bin ça alors…

En parlant de IE, je ne l’utilise jamais et pourtant il ramasse des tas de trucs en cache visibles avec ccleaner. C’est grave docteur ?

votre avatar

Il va donc falloir que je change de navigateur en attendant la maj.

votre avatar







Ermude a écrit :



Il va donc falloir que je change de navigateur en attendant la maj.





<img data-src=" />


votre avatar

Tout va bien, IE 10 n’est pas touché (ainsi qu’IE 6) <img data-src=" />

votre avatar







indyiv a écrit :



Tout va bien, IE 10 n’est pas touché (ainsi qu’IE 6) <img data-src=" />





En fait IE6 aussi, mais tout le monde s’en fout. :)


votre avatar

Firefox <img data-src=" />



Ie, je ne l’ai quasiment jamais utilisé chez moi, par contre au boulot…<img data-src=" />

votre avatar







Ermude a écrit :



Il va donc falloir que je change de navigateur en attendant la maj.







…ou que tu lises la fin de l’article et que tu suives le lien pour télécharger EMET.


votre avatar

Et du coup, Flash passe en 11.4.402.278… ^^

votre avatar

Marrant en regardant les photos, je ne savais pas que le | est utilisable aussi sous windows, mais par contre, pourquoi est-ce limité au compte root?

votre avatar







jmanici a écrit :



…ou que tu lises la fin de l’article et que tu suives le lien pour télécharger EMET.







Seulement d’après l’article de numerama, cette solution ne garantie pas la non exploitation de la faille.


votre avatar







Ermude a écrit :



Seulement d’après l’article de numerama, cette solution ne garantie pas la non exploitation de la faille.







de la même manière que l’installation de Firefox ou chrome ne garantie pas qu’il n’y ait pas de faille 0day pour ces navigateurs dans la nature!



le fait est que EMET rajoute des protections mémoire, améliore le support ASLR existant sous Windows 7, donc exploiter cette faille avec EMET installé requiert probablement plus d’effort et de temps que de chercher une faille dans un navigateur comme Firefox sans EMET.



Pour l’instant j’ai jamais entendu parler d’exploits concernant IE qui arrivaient à contourner toutes les protections supportées par EMET3. Alors que des failles exploitées dans Firefox il y en a eu, et même dans chrome (4 PoC non publics en un an).


votre avatar



Tant que la faille n’est pas corrigée, il est également possible de mettre Internet Explorer de côté pour utiliser un autre navigateur à la place, tel que Chrome, Firefox ou Opera.





Ça ne va pas être compliqué. <img data-src=" />

votre avatar







zefling a écrit :



Ça ne va pas être compliqué. <img data-src=" />





Malheureusement, si : Si Chorus peut fonctionner sous Firefox (mais 3.6.25 au maximum … sic), Rehucit lui ne sait fonctionner que sous internet Explorer en version 7.0 …



Et ce n’est sûrement pas le seul exemple, très loin de la …


votre avatar

et tout ça alors qu’une pub tv essaye de te rappeler que ie existe et qu’une “nouvel expérience web” est possible…

ben non, en fait, aucun changement <img data-src=" />

votre avatar

A noter que pour le moment la faille n’est exploitée dans la nature que sur IE7/8 sous Windows XP.



Et d’autant que je sache, le PoC publié par metasploit ne permet pas de contourner la sandbox d’IE7/8/9 sous vista/7.

Donc ça limite sérieusement l’intérêt d’une exploitation de cette faille s’il n’y a pas moyen d’installer de malware sur le profil utilisateur de la victime.



En tout cas, le meilleur moyen de se protéger contre cette faille (ainsi que d’autres qui pourraient être découvertes dans le futur), c’est d’installer Microsoft EMET et de rajouter son navigateur (IE, Firefox, chrome) dans la liste des applis à protéger par EMET. Cela active des protections mémoire “expérimentales” qui sont désactivées par défaut dans Windows pour éviter certaines rares incompatibilités.



IE10 contient probablement également cette faille, mais le fait qu’il utilise justement ces nouvelles protections mémoires le rend non vulnérable aux exploits actuels. Donc utiliser IE9 avec EMET est quasiment aussi sécurisé que d’utiliser IE10 (IE10 apporte également une nouvelle sandbox plus sécurisée que celle de IE7/chrome).



bref, mieux vaut rester sous IE avec EMET que d’utiliser Firefox, question sécurité ce serait une absurdité. Chrome en revanche est un peu plus sécurisé que IE9/win7.

votre avatar

Sou IE6 c’est bon alors ?





—&gt;[]

votre avatar







Gilbert_Gosseyn a écrit :



Malheureusement, si : Si Chorus peut fonctionner sous Firefox (mais 3.6.25 au maximum … sic), Rehucit lui ne sait fonctionner que sous internet Explorer en version 7.0 …



Et ce n’est sûrement pas le seul exemple, très loin de la …







Bha, là où je suis, le seul truc qui à besoin d’IE je ne m’en sers qu’une fois par mois et c’est du local. Je pense que je vais m’en passer sans trop de problème. <img data-src=" />


votre avatar







UAB_Kub a écrit :



et tout ça alors qu’une pub tv essaye de te rappeler que ie existe et qu’une “nouvel expérience web” est possible…

ben non, en fait, aucun changement <img data-src=" />







d’après une étude commandée par Google, IE reste nettement plus sécurisé que Firefox (ou opera).



et au final, IE10/win8 est plus sécurisé que chrome, car il protège d’avantage de ressources contre des accès malveillants (ex: pas d’accès au réseau local depuis l’enhanced protected mode d’IE10, donc pas de risque de piratage des DNS sur les modems/routeurs sur lesquels le mot de passe n’a pas été changé).



évidemment tous les navigateurs ont des failles, et d’après l’étude commandée par Google, IE est en réalité le navigateur qui a le moins de failles, d’après les statistiques de secunia. Mais évidemment, quand 90% des entreprises utilisent IE/XP pour leur intranet, ça en fait une cible plus interessante pour les hackers que de hacker un Firefox avec 20% de PDM (et quasiment rien en entreprise)


votre avatar

c’est bien connu que le code des navigateurs est irréprochable…. ils sont sécures!

;D

votre avatar







indyiv a écrit :



Tout va bien, IE 10 n’est pas touché (ainsi qu’IE 6) <img data-src=" />









zefling a écrit :



En fait IE6 aussi, mais tout le monde s’en fout. :)





Non, beaucoup de gens sont encore concernés par IE6 : tu dois penser aux nombreuses entreprises qui continuent d’utiliser ce navigateur de 2001 à cause de l’application x ou y !



Quant à Microsoft, l’entreprise s’est engagée à supporter IE6 jusqu’à la fin du support de Windows XP ou de 2003 server, ce qui nous amène donc à 2014 ou 2015. La faille devra donc être comblée pour cette version d’Internet Explorer.





votre avatar







Big Monstro a écrit :



Non, beaucoup de gens sont encore concernés par IE6







<img data-src=" />



Euh, à quand une organisation humanitaire pour aider ces gens à migrer leurs antiques applications “for IE6” ?



Et même IE7, pourquoi existe-t-il encore ? <img data-src=" />


votre avatar







jmanici a écrit :



vu qu’ils n’installent pas les maj de sécurité en general, ça ne change pas grand chose à la situation habituelle.



Et puis pas besoin de failles dans un navigateur pour poser des problèmes potentiels: quasiment toutes les machines (ou comptes utilisateurs) sont infectées par les clefs USB infectées que ramènent les élèves. Donc entre un malware qui provient d’une clef usb ou un malware qui provient d’un site vérolé, aucune différence.





Travaillant dans la maintenance du parc informatique d’un collège, je peux te donner quelques éléments de réponse.



Si les mises à jour de ce genre de poste ne sont pas installées, c’est parce que la personne ressource attitrée ne se bouge pas le cul.



En ce qui me concerne, en formation, on m’a appris à les faire, les mises à jour (surtout celles de sécurité, car “l’antivirus ne suffit pas”). On conseille même aux établissements de demander le renouvellement du matériel antérieur à 2005 (et pourtant, on trouve toujours des Win98, mais en quantité restreinte).



Et pour le coup des clés USB, suffit d’être radical et d’interdire leur utilisation (et rendre les ports USB inaccessibles), bon, c’est vrai qu’on peut pas les interdire pour les profs mais c’est mieux que rien.





Moi, personnellement, je fais en sorte de faire le boulot comme il faut. Mais j’ai eu l’occasion de constater que ce n’était pas la cas de celui qui m’a précédé.



En cette rentrée 2012, j’ai commencé à travailler dans un nouveau collège. J’ai commencé à m’occuper d’une des deux salles pupitre (la plus ancienne, sous XP pro SP3), quand j’ai vu la liste des logiciels, j’ai cru que j’allais avoir une attaque cardiaque.



Morceaux choisis:




  • 7-zip 4.23

  • Adobe Flash player 10

  • Adobe Reader 8

  • Audacity 1.3

  • GIMP 2.6.7

  • Internet explorer 8: monsieur avait mis la version “optimisée pour 01net”, que j’ai dû nettoyer

  • Java RE 6u22

  • Lecteur multimédia VLC 1.0.1

  • Mozilla Firefox 3.6.12

  • OpenOffice.org 3.2

  • Sweet home 3D 1.7

  • Windows update: 50 mises à jour à installer

    Et je ne parle même pas de la présence de certaines de ces “toolbars” de malheur.



    Sur ces PC, le seul truc qui était à jour est (je vous le donne en mille)… l’antivirus!



    Le pire reste quand le gars a débarqué l’autre jour (il était venu récupérer des affaires à lui qu’il avait encore au collège). Il arrive dans la salle alors que j’étais occupé à installer les mises à jour qu’il était censé faire l’année dernière. Et quand je lui dis que je fais ça, il prend un air super étonné et il me sort “Mais je les avais faites ces mises à jour!”. J’ai rien dit pour pas faire de scandale (et aussi parce qu’il est plus vieux que moi), mais j’avais envie de lui en mettre une.





    Enfin, en même temps, quand on voit les recommandations de l’académie elle-même, ce n’est pas si dramatique. Sur les référentiels de l’académie, ils désactivent tellement de trucs concernant l’apparence du système que j’en viens à me demander si, au moment de les faire, les mecs auraient pas fait un pari du genre “T’es pas cap de rendre Windows le plus moche et repoussant qui soit!”. Je veux bien qu’on optimise les perfs, mais chercher à dégoûter les gosses au point que même moi, l’apparence ne me donne pas envie de bosser sur les bécanes, là je dis “non”.


votre avatar







chtiplayer a écrit :



On conseille même aux établissements de demander le renouvellement du matériel antérieur à 2005



Morceaux choisis:









J’ai discuté avec un enseignant de primaire. Le matériel et le logiciel sont hétérogènes, attribués et renouvelés par des règles bizarres (*). En gros, dans une salle, il n’y a qu’un ou deux ordinateurs qui parviennent à imprimer. Pour faire installer ou mettre à jour les logiciels, il faut faire venir quelqu’un spécifiquement qui arrive avec une procédure.



(*) : pour quelqu’un comme moi


votre avatar







Groumfy a écrit :



J’ai discuté avec un enseignant de primaire. Le matériel et le logiciel sont hétérogènes, attribués et renouvelés par des règles bizarres (*). En gros, dans une salle, il n’y a qu’un ou deux ordinateurs qui parviennent à imprimer. Pour faire installer ou mettre à jour les logiciels, il faut faire venir quelqu’un spécifiquement qui arrive avec une procédure.



(*) : pour quelqu’un comme moi





Le truc, c’est que d’un niveau à l’autre, les règles changent. Je ne sais pas ce qu’il en est des écoles primaires. Je connais surtout le système dans les collèges et les lycées.



Un exemple tout con, pour venir installer les nouveaux PC, la société chargée des collèges n’est pas la même que celle chargée des lycées (ou c’est la société de maintenance qui change, j’ai un doute).



Et quand je parle du renouvellement de l’ancien matos, c’est seulement la demande, après faut que l’académie se bouge le cul. Surtout que ça fonctionne via des dotations.



Après, il y a des incohérences. La société qui vient installer les PC est différente de celle qui en fait la maintenance matérielle.

La société qui installe les PC se contente de brancher les câbles et associer les machines au serveur, pour ce qui est des logiciels, c’est “démerde-toi”.

Dans les salles pupitre, les PC sont tous identiques, donc peuvent tous faire la même chose.

Le câblage des salles et leur connexion au serveur est assuré par une troisième société.

Et enfin, pour toute assistance sur les logiciels, dans le cas où personne n’assure la maintenance ou si la personne ressource a besoin d’un coup de main, il y a le dispositif DAIP.



L’État ayant eu l’idée géniale de supprimer le statut de personne ressource, je suis officiellement un assistant d’éducation (j’ai le même statut que les surveillants), mais je ne surveille pas d’élève en fait.



Mon travail est d’assurer le fonctionnement des logiciels, leur installation et mise à jour, effectuer les tâches d’administration sur le serveur Kwartz et d’assurer son fonctionnement.


Internet Explorer 7, 8 et 9 touchés par une faille 0-day sur tous les Windows

Fermer