Chine : une faille 0 Day d‘Internet Explorer utilisée contre Google
Opération Aurora
Google a annoncé sur son blog avoir subi une cyber-attaque le mois dernier contre ses infrastructures chinoises, avec à la clef, le vol de certaines de ses propriétés intellectuelles. L’attaque informatique subie par la firme et une vingtaine d’autres sociétés a déjà un nom : l’Opération Aurora, nom trouvé dans les lignes de code...Google a annoncé sur son blog avoir subi une cyber-attaque le mois dernier contre ses infrastructures chinoises, avec à la clef, le vol de certaines de ses propriétés intellectuelles. L’attaque informatique subie par la firme et une vingtaine d’autres sociétés a déjà un nom : l’Opération Aurora, nom trouvé dans les lignes de code d’un nouvel exploit « 0 Day ». Selon les investigations de l’éditeur McAfee, l’attaque s’appuie sur une faille critique non corrigée d’Internet Explorer. Et c’est donc elle qui a déclenché la goutte de trop que l’on sait entre Moutain View et les autorités chinoises.
Sans évoquer la question Google, Microsoft a déjà publié un bulletin d’alerte spécial sur son site confirmant la faille, ainsi qu'un post sur son blog. La faille concerne à peu près toutes les versions d’Internet Explorer (5, 6, 7, 8) sauf Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 SP4.
Elle exploite une erreur dans la gestion de la mémoire (pointeur invalide), précisément dans la manipulation de certains DOM (Document object Model) entre les mains du navigateur.
Dans le scénario d’attaque web, il suffit d’une page spécialement conçue pour exploiter la vulnérabilité. Ne reste plus alors qu’à persuader une personne de visiter la page, par exemple par le biais d’un lien dans un email, une pub, etc. pour offrir à l’attaquant le même niveau de droit que l’utilisateur local. De fait, l’internaute qui surfe avec des droits d’administrateur sera plus à risque qu’un autre...
Dans ce mauvais scénario, l’utilisateur distant pourra alors exécuter du code sur cette machine, virus et autres chevaux de Troie. Selon les premières investigations, l’attaque s’appuie justement sur un troyen qui se lance à chaque démarrage et permet au pirate de voir, créer ou modifier des informations sur la machine locale. Celui qui parvient à mener à bien cette attaque peut alors « commencer à siphonner de précieuses données de l'entreprise » souligne McAfee.
En attendant un patch officiel, les premières mesures à prendre sont listées par le site spécialisée Secuser.com. Elles consistent à activer la Data Execution Prevention (DEP) de Windows, et dans le même temps à désactiver l’Active Scripting dans les zones de sécurité "Internet" et "Intranet Local" du navigateur Internet Explorer. Précision importante : le DEP est activé par défaut depuis Windows XP SP2, rendant plus complexe l'exploitation de la faille. Il faut néanmoins activer manuellement cette protection pour Internet Explorer 6 et 7. D'autre part, sous Vista et Windows 7, Internet Explorer fonctionne dans un espace isolé.
Seule assurance : Aurora a servi à des attaques très ciblées, il n’y a pas encore d’exploitation « large ».
Sans évoquer la question Google, Microsoft a déjà publié un bulletin d’alerte spécial sur son site confirmant la faille, ainsi qu'un post sur son blog. La faille concerne à peu près toutes les versions d’Internet Explorer (5, 6, 7, 8) sauf Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 SP4.
Elle exploite une erreur dans la gestion de la mémoire (pointeur invalide), précisément dans la manipulation de certains DOM (Document object Model) entre les mains du navigateur.
Dans le scénario d’attaque web, il suffit d’une page spécialement conçue pour exploiter la vulnérabilité. Ne reste plus alors qu’à persuader une personne de visiter la page, par exemple par le biais d’un lien dans un email, une pub, etc. pour offrir à l’attaquant le même niveau de droit que l’utilisateur local. De fait, l’internaute qui surfe avec des droits d’administrateur sera plus à risque qu’un autre...
Dans ce mauvais scénario, l’utilisateur distant pourra alors exécuter du code sur cette machine, virus et autres chevaux de Troie. Selon les premières investigations, l’attaque s’appuie justement sur un troyen qui se lance à chaque démarrage et permet au pirate de voir, créer ou modifier des informations sur la machine locale. Celui qui parvient à mener à bien cette attaque peut alors « commencer à siphonner de précieuses données de l'entreprise » souligne McAfee.
En attendant un patch officiel, les premières mesures à prendre sont listées par le site spécialisée Secuser.com. Elles consistent à activer la Data Execution Prevention (DEP) de Windows, et dans le même temps à désactiver l’Active Scripting dans les zones de sécurité "Internet" et "Intranet Local" du navigateur Internet Explorer. Précision importante : le DEP est activé par défaut depuis Windows XP SP2, rendant plus complexe l'exploitation de la faille. Il faut néanmoins activer manuellement cette protection pour Internet Explorer 6 et 7. D'autre part, sous Vista et Windows 7, Internet Explorer fonctionne dans un espace isolé.
Seule assurance : Aurora a servi à des attaques très ciblées, il n’y a pas encore d’exploitation « large ».
Le 15 janvier 2010 à 10:53
(40 624
lectures)
Soutenez l'indépendance de PC INpact en devenant Premium
- Tout le contenu de PC INpact sans pub
- Et bien plus encore...
Il y a 195 commentaires
Modérateur
L'exploitation de failles dans adobe reader est devenu le vecteur numéro d'exploitation de failles 0day
D'ailleurs, comme j'ai dis plus haut, certaines sources donnent une faille coté adobe comme faille utilisée dans l'attaque (mais bon, tout le monde s'en fout de ce que je dis
) Selon d'autres sources, ça viendrait d'une faille coté PDF 
http://www.spiegel.de/netzwelt/netzpolitik/0,1518,671639,00.html
http://www.adobe.com/support/security/bulletins/apsb10-02.html
http://www.spiegel.de/netzwelt/netzpolitik/0,1518,671639,00.html
http://www.adobe.com/support/security/bulletins/apsb10-02.html
INpactien
Étant donné le nombre de trolls, tous ceux qui seront publiés après ce message seront supprimés et leur auteur bloqué sur cette actualité.
pour éviter de déchainer les trolls, ne serait-ce pas utile de modifier la news pour préciser que pour l'instant les exploits ne s'attaquent que à IE6, et que le DEP étant déjà activé par défaut sous IE8, le risque d'exploitation est très faible sur ce navigateur?
mentionner la sandbox de vista/7 serait un plus pour la qualité journalistique de cet article
INpactien
en tout cas l'attaque visait des employés de google utilisant IE6.
Employés Google ou militants des Droits de l'Homme ?
http://www.pcinpact.com/actu/news/54928-google-chine-censure-recherche-baidu.htm
INpactien
D'ailleurs, comme j'ai dis plus haut, certaines sources donnent une faille coté adobe comme faille utilisée dans l'attaque (mais bon, tout le monde s'en fout de ce que je dis )
) oui j'ai lu, mais McAfee a dit que bien que c'était ce que supposaient initialement les experts en sécurité, il s'est avéré que la faille PDF n'a pas été exploitée dans cette attaque (à la surprise générale, puisque les failles d'IE deviennent rares maintenant et qu'il était plus probable qu'il s'agisse d'une faille adobe).
Mais il est tout à fait vrai que les failles d'adobe reader sont massivement exploitées, et qu'il est important de mettre à jour vers la version 9.3 tout de suite (surtout si on n'utilise pas IE avec le mode protégé) puisque adobe reader s'installe en tant que plugin dans le navigateur web (ie, firefox, ...), et un site piraté peut donc ouvrir un pdf dans le navigateur sans que l'utilisateur ne s'en rende compte pour exploiter la faille en question (d'où l'importance de mesures préventives comme une sandbox)
INpactien
Employés Google ou militants des Droits de l'Homme ?
http://www.pcinpact.com/actu/news/54928-google-chine-censure-recherche-baidu.htm
google parle d'une attaque interne récente (celle dont parle cet article)
les attaques qui ont permi le vol de mot de passe de défenseurs des droits de l'homme surveillés par la chine se sont déroulées d'une maniere dévoilée (vu que ça c'est passé sur leur ordinateur personnel, il n'y a pas eu d'investigation concernant la méthode utilisée pour voler ces données), qui peut tout à fait inclure cette faille d'IE, mais peut également inclure d'autres méthodes (social engineering, faille 0 day dans un autre navigateur, faille dans adobe reader, ...)
Equipe
Vincent_H
Le vendredi 15 janvier 2010 à 14:52:38
#96
Inscrit
le jeudi 30 janvier 03
-
14953
commentaires
pour éviter de déchainer les trolls, ne serait-ce pas utile de modifier la news pour préciser que pour l'instant les exploits ne s'attaquent que à IE6, et que le DEP étant déjà activé par défaut sous IE8, le risque d'exploitation est très faible sur ce navigateur?
mentionner la sandbox de vista/7 serait un plus pour la qualité journalistique de cet article
Ce n'est pas moi qui l'ai écrite, et tu sais pertinemment qu'avec ou sans ça, il y aura toujours des commentaires débiles de la part de ceux qui ont une lecture très sélective de ce type d'article. Cela dit, j'avertis l'auteur.
INpactien
Tuttle7
Le vendredi 15 janvier 2010 à 14:53:40
#97
Inscrit
le mardi 28 juillet 09
-
717
commentaires
euh... installer un logiciel tiers est plus radical que d'activer un simple parametre de sécurité pour IE6/7... d'autant plus que sous vista IE7 est déjà sandboxé!
Je pense que c'est radical surtout pour les performances le mode DEP
Le dossier "Fichiers temporaires" n'est pas isolé dans IE7, et une petite prévention d'autres failles éventuelles ne fait pas de mal.
INpactien
Ezelyn
Le vendredi 15 janvier 2010 à 14:54:11
#98
Inscrit
le vendredi 27 février 09
-
1031
commentaires
en tout cas on voit bien que google et sa lutte anti IE/IE6 est hypocrite puisqu'en internet ils utilisents toujours du XP/IE6... (sinon ils n'auraient pas été vulnérables à cette attaque)
tiens d'ailleurs, pourquoi ils utilisent pas chrome chez google?
IE6 c'est presque toujours synonyme d'entreprise sous win2000 pour une partie du parc informatique. Et sur 2000, chrome n'est officiellement pas compatible.
Commentaire de
Ricard supprimé
le
01/01/1970 à 00:00:00
:
Troll ou incitation au troll
Commentaire de
windu.2b supprimé
le
01/01/1970 à 00:00:00
:
Réponse à un commentaire supprimé
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Insolite : un designer fâché par le diaporama hideux de PRISM
(42)
Leçon de présentation -
L'agent Ma-Config mis à jour pour se débarrasser de certains soucis
(14)
Fini les blocages avec certains antivirus -
Paul Thurrott affirme que Windows 8.1 sera disponible le 1er août
(12)
Un bêta test qui serait donc très court -
iTunes 11.0.4 remet à l'honneur les pochettes d'albums
(7)
Fini les demandes intempestives...
Comment profiter du nouveau Google Maps sans invitation
Les chats gouvernent Internet, cela passe donc par les cookies
-
Des GeForce GTX 770 à partir de 335,51 €
Valable jusqu'au 23 juin -
99,90 € pour un disque dur Toshiba de 3 To en S-ATA 6 Gb/s
Valable pendant 10 heures -
Une GeForce GTX 680 avec le jeu Metro Last Light pour 299,90 €
Valable jusqu'au 21 juin -
Un iPad 2 blanc de 16 Go pour 349 €
Valable jusqu'au 23 juin
