Chine : une faille 0 Day d‘Internet Explorer utilisée contre Google
Opération Aurora
Google a annoncé sur son blog avoir subi une cyber-attaque le mois dernier contre ses infrastructures chinoises, avec à la clef, le vol de certaines de ses propriétés intellectuelles. L’attaque informatique subie par la firme et une vingtaine d’autres sociétés a déjà un nom : l’Opération Aurora, nom trouvé dans les lignes de code...Google a annoncé sur son blog avoir subi une cyber-attaque le mois dernier contre ses infrastructures chinoises, avec à la clef, le vol de certaines de ses propriétés intellectuelles. L’attaque informatique subie par la firme et une vingtaine d’autres sociétés a déjà un nom : l’Opération Aurora, nom trouvé dans les lignes de code d’un nouvel exploit « 0 Day ». Selon les investigations de l’éditeur McAfee, l’attaque s’appuie sur une faille critique non corrigée d’Internet Explorer. Et c’est donc elle qui a déclenché la goutte de trop que l’on sait entre Moutain View et les autorités chinoises.
Sans évoquer la question Google, Microsoft a déjà publié un bulletin d’alerte spécial sur son site confirmant la faille, ainsi qu'un post sur son blog. La faille concerne à peu près toutes les versions d’Internet Explorer (5, 6, 7, 8) sauf Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 SP4.
Elle exploite une erreur dans la gestion de la mémoire (pointeur invalide), précisément dans la manipulation de certains DOM (Document object Model) entre les mains du navigateur.
Dans le scénario d’attaque web, il suffit d’une page spécialement conçue pour exploiter la vulnérabilité. Ne reste plus alors qu’à persuader une personne de visiter la page, par exemple par le biais d’un lien dans un email, une pub, etc. pour offrir à l’attaquant le même niveau de droit que l’utilisateur local. De fait, l’internaute qui surfe avec des droits d’administrateur sera plus à risque qu’un autre...
Dans ce mauvais scénario, l’utilisateur distant pourra alors exécuter du code sur cette machine, virus et autres chevaux de Troie. Selon les premières investigations, l’attaque s’appuie justement sur un troyen qui se lance à chaque démarrage et permet au pirate de voir, créer ou modifier des informations sur la machine locale. Celui qui parvient à mener à bien cette attaque peut alors « commencer à siphonner de précieuses données de l'entreprise » souligne McAfee.
En attendant un patch officiel, les premières mesures à prendre sont listées par le site spécialisée Secuser.com. Elles consistent à activer la Data Execution Prevention (DEP) de Windows, et dans le même temps à désactiver l’Active Scripting dans les zones de sécurité "Internet" et "Intranet Local" du navigateur Internet Explorer. Précision importante : le DEP est activé par défaut depuis Windows XP SP2, rendant plus complexe l'exploitation de la faille. Il faut néanmoins activer manuellement cette protection pour Internet Explorer 6 et 7. D'autre part, sous Vista et Windows 7, Internet Explorer fonctionne dans un espace isolé.
Seule assurance : Aurora a servi à des attaques très ciblées, il n’y a pas encore d’exploitation « large ».
Sans évoquer la question Google, Microsoft a déjà publié un bulletin d’alerte spécial sur son site confirmant la faille, ainsi qu'un post sur son blog. La faille concerne à peu près toutes les versions d’Internet Explorer (5, 6, 7, 8) sauf Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 SP4.
Elle exploite une erreur dans la gestion de la mémoire (pointeur invalide), précisément dans la manipulation de certains DOM (Document object Model) entre les mains du navigateur.
Dans le scénario d’attaque web, il suffit d’une page spécialement conçue pour exploiter la vulnérabilité. Ne reste plus alors qu’à persuader une personne de visiter la page, par exemple par le biais d’un lien dans un email, une pub, etc. pour offrir à l’attaquant le même niveau de droit que l’utilisateur local. De fait, l’internaute qui surfe avec des droits d’administrateur sera plus à risque qu’un autre...
Dans ce mauvais scénario, l’utilisateur distant pourra alors exécuter du code sur cette machine, virus et autres chevaux de Troie. Selon les premières investigations, l’attaque s’appuie justement sur un troyen qui se lance à chaque démarrage et permet au pirate de voir, créer ou modifier des informations sur la machine locale. Celui qui parvient à mener à bien cette attaque peut alors « commencer à siphonner de précieuses données de l'entreprise » souligne McAfee.
En attendant un patch officiel, les premières mesures à prendre sont listées par le site spécialisée Secuser.com. Elles consistent à activer la Data Execution Prevention (DEP) de Windows, et dans le même temps à désactiver l’Active Scripting dans les zones de sécurité "Internet" et "Intranet Local" du navigateur Internet Explorer. Précision importante : le DEP est activé par défaut depuis Windows XP SP2, rendant plus complexe l'exploitation de la faille. Il faut néanmoins activer manuellement cette protection pour Internet Explorer 6 et 7. D'autre part, sous Vista et Windows 7, Internet Explorer fonctionne dans un espace isolé.
Seule assurance : Aurora a servi à des attaques très ciblées, il n’y a pas encore d’exploitation « large ».
Le 15 janvier 2010 à 10:53
(40 623
lectures)
Soutenez l'indépendance de PC INpact en devenant Premium
- Tout le contenu de PC INpact sans pub
- Et bien plus encore...
Il y a 195 commentaires
INpactien
mode sérieux on...
Atendons une analyse pleine et complète dans le prochain MISC ça promet....
En attendant l'article de wired est pas mal mais on en sait en fait assez peu...
PS cherchez pas suis mort et j'ai lu aucune news en entier
je sors -->[]
Edité par benco le vendredi 15 janvier 2010 à 17:50
Atendons une analyse pleine et complète dans le prochain MISC ça promet....
En attendant l'article de wired est pas mal mais on en sait en fait assez peu...
PS cherchez pas suis mort et j'ai lu aucune news en entier
je sors -->[]
Edité par benco le vendredi 15 janvier 2010 à 17:50
INpactien
IE6 c'est presque toujours synonyme d'entreprise sous win2000 pour une partie du parc informatique. Et sur 2000, chrome n'est officiellement pas compatible.
je doute que google tourne encore sous windows 2000...
déjà sous xp ça craint pour une entreprise comme google qui a les moyens de mettre à jour son SI, et surtout qui devrait avoir de bonnes pratiques de sécurité, comme activer DEP sous IE6...
OK mais je ne comprends toujours pas le décallage entre Microsoft qui annonce qu'il n'ont pas vu de "widespread customer impact", et Google qui annonce ce qu'on peut lire dans l'article ici, ce qui est plutôt massif, important et qui concernerait 20 sociétés.
widespread customer impact = faille exploitée de maniere automatique sur des gens au hasard (qui visite un site qui s'est fait pirater par exemple)
ici, il s'agit d'une attaque ciblée, ce qui est plus "intelligent"
des gens ont fait de gros efforts pour trouver une faille, mais plutot que de s'en servir publiquement (en attaquant des gens au hasard) pour distribuer des malwares "classiques" (qui affichent des publicités, volent des numéro de cb) et risquer que le code malveillant soit rapidement repéré et la faille corrigée, ils ont préféré s'en servir pour faire des attaques ciblées, pour récupérer des informations précises de personnes ciblées à l'avance (dans le but de pouvoir s'introduire sur le réseau interne d'une entreprise).
En général, si c'est suffisament discret, la faille peut potentiellement etre utilisée pendant des années sans que personne ne s'en rende compte, et donc sans qu'elle soit corrigée. (d'où l'importance d'avoir de bonnes pratiques de sécurité comme l'utilisation de logiciels ayant une sandbox pour rendre plus difficile l'exploitation de failles 0 day inconnues des experts en sécurité)
Ce type de faille "connue par un groupe restreint de personne" est probablement exploitée dans de nombreux logiciels (pas seulement IE), car quand on veut faire de l'espionnage industriel, exploiter des failles de sécurité non connues est un moyen excellent pour s'infiltrer dans un réseau sans prendre de risque...
INpactien
@link385 : Sans marcher dans ton sale troll puant tu me semble bien ignorant du buisness d'internet pour t'étonner que des devs de googles soient sous IE6...
déjà reste poli, et ensuite, réfléchis avant de sortir de pareilles âneries.
tu crois vraiment que les postes des développeurs chez google sont reliés à internet, et que ce sont les développeurs qui ouvrent et répondent aux emails provenant d'inconnus extérieurs à google?
(et qu'en plus ils utilisent IE6 pour ouvrir un lien dans un email provenant d'une personne inconnue?)
de toute évidence, il s'agit d'une attaque contre des secretaires, ou des personnes travaillant dans la partie administrative de google (ce qui peut etre un point de départ pour des attaques plus complexes d'infiltration dans le réseau)
Alors bref stop les "olol google sont sous ie§§§§§"
si google a un intranet sous IE6, je trouve ça grave compte tenu du fait qu'ils sont les premiers à raler contre IE6...
INpactien
127.0.0.1
Le vendredi 15 janvier 2010 à 18:05:45
#134
Inscrit
le mercredi 29 avril 09
-
12355
commentaires
Je suis désolé, mais j'aime pas ton raisonnement. Avec des raisonnement comme ça, on arrive à avoir des types qui soutienne que "Linux est sécurisé parce que personne ne l'utilise".
C'est con, un logiciel sécurisé est un logiciel sécurisé et pas un logiciel pas utilisé.
Dans ce cas là, Windows 95 est de plus en plus sécurisé parce que plus personne ne l'utilise?
C'est con, un logiciel sécurisé est un logiciel sécurisé et pas un logiciel pas utilisé.
Dans ce cas là, Windows 95 est de plus en plus sécurisé parce que plus personne ne l'utilise?
J'ai jamais écrit le mot "sécurisation" dans mes posts.
J'ai juste dit qu'il est plus rentable pour un hacker de s'attaquer a un browser largement utilisé par des noobs qu'un browser peu utilisé par des geeks. Question de statistique.
INpactien
binougours
Le vendredi 15 janvier 2010 à 18:08:58
#135
Inscrit
le samedi 16 mai 09
-
20701
commentaires
article très INtéressant comme toujours 
C'est dommage pour Google qui pourtant avait donné de sacrés gages de soumission aux noichs en censurant certains contenus.
Proverbe sino-cubitusien kivabien
"le chien mord parfois le derrière qui le nourrit"
paf Goggle !
C'est dommage pour Google qui pourtant avait donné de sacrés gages de soumission aux noichs en censurant certains contenus.
Proverbe sino-cubitusien kivabien
"le chien mord parfois le derrière qui le nourrit"
paf Goggle !
INpactien
Ils ont préféré s'en prendre à un systeme end-user, peut etre parce qu'au final, les frontaux qui ont des OS peu usités, sont quand meme plus résistants aux attaques (ce qui peut ne pas etre la seule explication, j'en conviens).
déjà en serveurs frontaux, google utilise des produits développés en interne. (ils n'utilisent pas apache ou php)
donc même s'il existait des failles sur ces serveurs, sans l'executable à analyser, il serait difficile de trouver une faille à exploiter.
ensuite, niveau réseau ip/routage, linux est sécurisé (il n'y a pas souvent de failles à ce niveau là), et windows aussi d'ailleurs.
la surface d'exposition aux failles de sécurité (en gros elle est liée à la quantité de code qui compose un logiciel) est bien plus grande dans un navigateur web que dans tout autre logiciel ou service réseau. Il est donc normal qu'on y trouve d'avantage de failles que dans tout autre type de logiciel.
Et il est bien plus facile de s'infiltrer sur un réseau interne en s'attaquant à une machine présente sur ce réseau (via une faille du navigateur et du social engineering) que de traverser des tas de firewall, dispositifs de filtrage depuis internet, pour ensuite s'attaquer à un serveur via une autre faille de sécurité.
En s'attaquant à un poste de travail (c'est le poste de travail infecté qui communique avec internet, donc inutile de se soucier des firewalls et autre proxy) on peut beaucoup plus facilement attaquer un réseau interne, surtout si cet ordinateur contient des mots de passe pré enregistrés... (ou avec un keylogger, si l'utilisateur tape un mot de passe)
INpactien
+1 Que des tests soient effectués sur IE6 me paraît normal. Mais donc il devrait alors être sur une partition prévue à cet effet et utilisé pour tester spécifiquement des pages fournies par Google
j'espere que tu ne parles pas d'un multiboot avec plusieurs partitions....
ça c'est un truc à choper des malwares qui se baladent d'une installation d'un OS à une autre...
Le code, c'est comme le bon vin : suffit de laisser faire le temps pour qu'il soit meilleur.
Et le type qui dit ça traite les autres de boulets.
LOL !
Et le type qui dit ça traite les autres de boulets.
LOL !
désolé mon pauvre, mais ma position est partagée par bien des spécialistes:
plus un code a été examiné (donc plus il est vieux), moins il y a de chance qu'il contienne des failles de sécurité évidentes (et le nombre de failles ne peut que décroitre avec le temps lorsqu'elles sont corrigées, puisqu'il n'y a pas d'ajout de nouveau code apportant potentiellement d'autres failles)
INpactien
Tellement qu'il est toujours impossible de supprimer IE des OS microsoft.
(Seven se contente de désactiver certains éléments).
tu peux tout à fait créer une version de windows xp ou 7 sans IE avec windows embedded standard platform builder.
tu peux enlever les composants d'IE, mais dans ce cas là tu ne pourras pas utiliser explorer.exe (qui a besoin du moteur d'affichage d'IE pour rendre certains éléments), ni utiliser 80% des applications d'éditeurs tiers, puisqu'elles ont de fortes chance d'utiliser au moins un composant d'IE...
je le répète une derniere fois : IE ne tourne pas dans le noyau, et n'a pas de privileges particuliers sur le systeme. (il a meme moins de privileges que firefox ou safari sous vista/7)
INpactien
Et combien de failles non découvertes dans IE?
il en reste encore, la preuve
(je n'ai jamais dit le contraire)
mais il devient très difficile d'en trouver
d'ailleurs il y a deux ans lors du concours CanSecWest aucune faille n'a été trouvée dans IE... c'est une faille dans flash player qui a permi de faire "tomber" la machine windows (et encore, cette faille de flash n'aurait pas permi d'écrire sur le disque dur de la victime à cause du mode protégé. Le but du concours etait uniquement d'acceder au disque dur en lecture)
Faudrait pas oublier que l'un floute ses sources, et l'autre pas, dans cette histoire...
les chercheurs de failles de sécurité ne se servent pas des sources pour trouver les failles contrairement à ce que prétendent certains
ils analysent le fonctionnement de l'application au moment de l'execution (code compilé, source inutiles donc) à la recherche de comportements à risque (copie dans un buffer sans verification de la taille, ...) avec des debuggers et autres outils d'analyse de code compilé, ça rend la découverte de failles plus facile qu'en lisant un code source.
INpactien
Crysalide
Le vendredi 15 janvier 2010 à 18:30:26
#140
Inscrit
le mardi 24 mars 09
-
5172
commentaires
Ah bon ?? J'ai cru lire que l'ouverture du code source était un bon moyen pour exploiter des failles parce que c'était lisible par tous (et donc les hackers) ?
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Insolite : un designer fâché par le diaporama hideux de PRISM
(42)
Leçon de présentation -
L'agent Ma-Config mis à jour pour se débarrasser de certains soucis
(14)
Fini les blocages avec certains antivirus -
Paul Thurrott affirme que Windows 8.1 sera disponible le 1er août
(12)
Un bêta test qui serait donc très court -
iTunes 11.0.4 remet à l'honneur les pochettes d'albums
(7)
Fini les demandes intempestives...
Comment profiter du nouveau Google Maps sans invitation
Les chats gouvernent Internet, cela passe donc par les cookies
-
Un kit de 16 Go de DDR3 (2x 8 Go) Kingston à 1600 MHz pour 89,90 €
Valable jusqu'au 23 juin -
Origin : jusqu'à 50 % de remise sur plusieurs centaines de titres
Valable jusqu'au 19 juin -
Jusqu'à 100 € remboursés pour l'achat d'un PC HP
Valable jusqu'au 21 juillet -
Le PowerPack Premium de Roccat pour 134 €
Valable jusqu'au 30 juin
