Chine : une faille 0 Day d‘Internet Explorer utilisée contre Google
Opération Aurora
Google a annoncé sur son blog avoir subi une cyber-attaque le mois dernier contre ses infrastructures chinoises, avec à la clef, le vol de certaines de ses propriétés intellectuelles. L’attaque informatique subie par la firme et une vingtaine d’autres sociétés a déjà un nom : l’Opération Aurora, nom trouvé dans les lignes de code d’un nouvel exploit « 0 Day ». Selon les investigations de l’éditeur McAfee, l’attaque s’appuie sur une faille critique non corrigée d’Internet Explorer. Et c’est donc elle qui a déclenché la goutte de trop que l’on sait entre Moutain View et les autorités chinoises.
Sans évoquer la question Google, Microsoft a déjà publié un bulletin d’alerte spécial sur son site confirmant la faille, ainsi qu'un post sur son blog. La faille concerne à peu près toutes les versions d’Internet Explorer (5, 6, 7, 8) sauf Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 SP4.
Elle exploite une erreur dans la gestion de la mémoire (pointeur invalide), précisément dans la manipulation de certains DOM (Document object Model) entre les mains du navigateur.
Dans le scénario d’attaque web, il suffit d’une page spécialement conçue pour exploiter la vulnérabilité. Ne reste plus alors qu’à persuader une personne de visiter la page, par exemple par le biais d’un lien dans un email, une pub, etc. pour offrir à l’attaquant le même niveau de droit que l’utilisateur local. De fait, l’internaute qui surfe avec des droits d’administrateur sera plus à risque qu’un autre...
Dans ce mauvais scénario, l’utilisateur distant pourra alors exécuter du code sur cette machine, virus et autres chevaux de Troie. Selon les premières investigations, l’attaque s’appuie justement sur un troyen qui se lance à chaque démarrage et permet au pirate de voir, créer ou modifier des informations sur la machine locale. Celui qui parvient à mener à bien cette attaque peut alors « commencer à siphonner de précieuses données de l'entreprise » souligne McAfee.
En attendant un patch officiel, les premières mesures à prendre sont listées par le site spécialisée Secuser.com. Elles consistent à activer la Data Execution Prevention (DEP) de Windows, et dans le même temps à désactiver l’Active Scripting dans les zones de sécurité "Internet" et "Intranet Local" du navigateur Internet Explorer. Précision importante : le DEP est activé par défaut depuis Windows XP SP2, rendant plus complexe l'exploitation de la faille. Il faut néanmoins activer manuellement cette protection pour Internet Explorer 6 et 7. D'autre part, sous Vista et Windows 7, Internet Explorer fonctionne dans un espace isolé.
Seule assurance : Aurora a servi à des attaques très ciblées, il n’y a pas encore d’exploitation « large ».
Sans évoquer la question Google, Microsoft a déjà publié un bulletin d’alerte spécial sur son site confirmant la faille, ainsi qu'un post sur son blog. La faille concerne à peu près toutes les versions d’Internet Explorer (5, 6, 7, 8) sauf Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 SP4.
Elle exploite une erreur dans la gestion de la mémoire (pointeur invalide), précisément dans la manipulation de certains DOM (Document object Model) entre les mains du navigateur.
Dans le scénario d’attaque web, il suffit d’une page spécialement conçue pour exploiter la vulnérabilité. Ne reste plus alors qu’à persuader une personne de visiter la page, par exemple par le biais d’un lien dans un email, une pub, etc. pour offrir à l’attaquant le même niveau de droit que l’utilisateur local. De fait, l’internaute qui surfe avec des droits d’administrateur sera plus à risque qu’un autre...
Dans ce mauvais scénario, l’utilisateur distant pourra alors exécuter du code sur cette machine, virus et autres chevaux de Troie. Selon les premières investigations, l’attaque s’appuie justement sur un troyen qui se lance à chaque démarrage et permet au pirate de voir, créer ou modifier des informations sur la machine locale. Celui qui parvient à mener à bien cette attaque peut alors « commencer à siphonner de précieuses données de l'entreprise » souligne McAfee.
En attendant un patch officiel, les premières mesures à prendre sont listées par le site spécialisée Secuser.com. Elles consistent à activer la Data Execution Prevention (DEP) de Windows, et dans le même temps à désactiver l’Active Scripting dans les zones de sécurité "Internet" et "Intranet Local" du navigateur Internet Explorer. Précision importante : le DEP est activé par défaut depuis Windows XP SP2, rendant plus complexe l'exploitation de la faille. Il faut néanmoins activer manuellement cette protection pour Internet Explorer 6 et 7. D'autre part, sous Vista et Windows 7, Internet Explorer fonctionne dans un espace isolé.
Seule assurance : Aurora a servi à des attaques très ciblées, il n’y a pas encore d’exploitation « large ».
Le 15 janvier 2010 à 10:53
(40 591
lectures)
Il y a 195 commentaires
INpactien
metaphore54
Le vendredi 15 janvier 2010 à 12:03:24
#31
Inscrit
le mercredi 29 avril 09
-
4596
commentaires
on le trouve où ? le Data executing prévention ?
Si microsoft compte le patcher rapidement inutile d'aller l'activer ?
Si microsoft compte le patcher rapidement inutile d'aller l'activer ?
INpactien
sauf erreur DEP est activé par défaut dans Windows depuis XP SP2...
Oui mais uniquement pour les processus systèmes.
Un peu de lecture: ^^
http://en.wikipedia.org/wiki/NX_bit
INpactien
sylware
Le vendredi 15 janvier 2010 à 12:08:33
#33
Inscrit
le mercredi 27 août 08
-
1264
commentaires
Huhu... ça colle... y un effort croissant pour fâcher la chine avec google... j'ai l'impression que fabriquer des machines pas cher en chine dérange quelqu'un, mais qui?
INpactien
Crysalide
Le vendredi 15 janvier 2010 à 12:09:36
#34
Inscrit
le mardi 24 mars 09
-
5158
commentaires
Merci Microsoft. 
INpactien
Bref, utiliser Microsoft, c'est supporter la dictature chinoise. 
INpactien
tass_
Le vendredi 15 janvier 2010 à 12:12:48
#36
Inscrit
le mardi 14 novembre 06
-
2687
commentaires
Bref, utiliser Microsoft, c'est supporter la dictature chinoise.
"Sauvez un petit tibétain, désintallez un windows".
INpactien
beber_1
Le vendredi 15 janvier 2010 à 12:15:25
#37
Inscrit
le jeudi 13 septembre 07
-
16176
commentaires
ça permettait à MS de pirater Google en douce, mais manque de bol les chinois, véritables termites du Net 
, ont trouvé eux-aussi la faille... 
INpactien
Crysalide
Le vendredi 15 janvier 2010 à 12:16:23
#38
Inscrit
le mardi 24 mars 09
-
5158
commentaires
Bref, utiliser Microsoft, c'est supporter la dictature chinoise.
Finalement, en extrapolant au niveau économique, MS qui fournit en faille involontairement la dictature chinoise se rapproche des stratégies du gouvernement US à armer certaines guérillas et autres groupes armés par très recommandables à travers le monde. (ou la France avec le Rwanda).
INpactien
refuznik
Le vendredi 15 janvier 2010 à 12:17:32
#39
Inscrit
le samedi 6 janvier 07
-
1553
commentaires
Je suis désolé, mais j'aime pas ton raisonnement. Avec des raisonnement comme ça, on arrive à avoir des types qui soutienne que "Linux est sécurisé parce que personne ne l'utilise".
C'est con, un logiciel sécurisé est un logiciel sécurisé et pas un logiciel pas utilisé.
Dans ce cas là, Windows 95 est de plus en plus sécurisé parce que plus personne ne l'utilise?
C'est con, un logiciel sécurisé est un logiciel sécurisé et pas un logiciel pas utilisé.
Dans ce cas là, Windows 95 est de plus en plus sécurisé parce que plus personne ne l'utilise?
Idem, le problème avec les produits de microsoft c'est qu'ils sont liés au système d'exploitation tout simplement. Bref je dirais plutôt de prendre un navigateur ou un soft n'interagissant pas trop avec le système c'est à dire opera, firefox, etc...
INpactien
tass_
Le vendredi 15 janvier 2010 à 12:20:44
#40
Inscrit
le mardi 14 novembre 06
-
2687
commentaires
Idem, le problème avec les produits de microsoft c'est qu'ils sont liés au système d'exploitation tout simplement. Bref je dirais plutôt de prendre un navigateur ou un soft n'interagissant pas trop avec le système c'est à dire opera, firefox, etc...
Son raisonnement n'était pas si faux que ça : bien que le fait qu'un soft ne soit pas utilisé ne change rien niveau sécurité le corollaire est vrai : à niveau de sécurité égal un soft populaire sera beaucoup plus piraté qu'un soft inconnu par la masse.
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
GPU-Z 0.7.1 : les GeForce GTX 770 et 780 à l'honneur
(2)
Et les GPU des APU d'AMD aussi -
[MàJ] Quand Google cache des poneys dans Hangouts, mais pas que...
(17)
Poney, aime -
CUDA-Z : tout savoir de votre GPU NVIDIA sous Linux, OS X ou Windows
(7)
Et même quelques benchs -
CPU-Z 1.64 et HWMonitor 1.22 sont de sortie
(0)
Il faut dire qu'il fait soleil aujourd'hui
![[MàJ] Quand Google cache des poneys dans...](http://static.pcinpact.com/images/bd/dedicated/79789.jpg)
-
Un portable Toshiba de 17,3" avec un Core I7 3630QM pour 509 €
Valable jusqu'au 25 mai -
Un SSD Samsung 840 Pro de 128 Go et un HDD de 3 To pour 199,90 €
Valable jusqu'au 27 mai -
Une alimentation modulaire Enermax Naxn de 750 W pour 99,90 €
Valable jusqu'au 26 mai -
Une souris filaire Razer Deathadder 2013 pour 46,69 €
Valable jusqu'au 26 mai
