S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Chine : une faille 0 Day d‘Internet Explorer utilisée contre Google

Opération Aurora

Google a annoncé sur son blog avoir subi une cyber-attaque le mois dernier contre ses infrastructures chinoises, avec à la clef, le vol de certaines de ses propriétés intellectuelles. L’attaque informatique subie par la firme et une vingtaine d’autres sociétés a déjà un nom : l’Opération Aurora, nom trouvé dans les lignes de code d’un nouvel exploit « 0 Day ». Selon les investigations de l’éditeur McAfee, l’attaque s’appuie sur une faille critique non corrigée d’Internet Explorer. Et c’est donc elle qui a déclenché la goutte de trop que l’on sait entre Moutain View et les autorités chinoises.

google chine cn internet explorer

Sans évoquer la question Google, Microsoft a déjà publié un bulletin d’alerte spécial sur son site confirmant la faille, ainsi qu'un post sur son blog. La faille concerne à peu près toutes les versions d’Internet Explorer (5, 6, 7, 8) sauf Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 SP4.

Elle exploite une erreur dans la gestion de la mémoire (pointeur invalide), précisément dans la manipulation de certains DOM (Document object Model) entre les mains du navigateur.

Dans le scénario d’attaque web, il suffit d’une page spécialement conçue pour exploiter la vulnérabilité. Ne reste plus alors qu’à persuader une personne de visiter la page, par exemple par le biais d’un lien dans un email, une pub, etc. pour offrir à l’attaquant le même niveau de droit que l’utilisateur local. De fait, l’internaute qui surfe avec des droits d’administrateur sera plus à risque qu’un autre...

Dans ce mauvais scénario, l’utilisateur distant pourra alors exécuter du code sur cette machine, virus et autres chevaux de Troie. Selon les premières investigations, l’attaque s’appuie justement sur un troyen qui se lance à chaque démarrage et permet au pirate de voir, créer ou modifier des informations sur la machine locale. Celui qui parvient à mener à bien cette attaque peut alors « commencer à siphonner de précieuses données de l'entreprise » souligne McAfee.

En attendant un patch officiel, les premières mesures à prendre sont listées par le site spécialisée Secuser.com. Elles consistent à activer la Data Execution Prevention (DEP) de Windows, et dans le même temps à désactiver l’Active Scripting dans les zones de sécurité "Internet" et "Intranet Local" du navigateur Internet Explorer. Précision importante : le DEP est activé par défaut depuis Windows XP SP2, rendant plus complexe l'exploitation de la faille. Il faut néanmoins activer manuellement cette protection pour Internet Explorer 6 et 7. D'autre part, sous Vista et Windows 7, Internet Explorer fonctionne dans un espace isolé.

Seule assurance : Aurora a servi à des attaques très ciblées, il n’y a pas encore d’exploitation « large ».
Marc Rees

Journaliste, rédacteur en chef

Publiée le 15/01/2010 à 10:53

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 195 commentaires

Avatar de Ph11 INpactien
Ph11 Le vendredi 15 janvier 2010 à 13:45:03
Inscrit le mardi 15 mai 07 - 8269 commentaires
au fait, pourquoi vous parlez des failles d'IE et non de celles d'OSX?

http://securityreason.com/securityalert/6932

cette faille 0day dans la LibC d'openBSD (qui est connue depuis juin et qui a été corrigée dans openBSD mais pas osx) permet d'attaquer une application utilisant la libC.
Donc les navigateurs web peuvent probablement servir de vecteurs d'attaque...

[strike]La Chine [/strike] Os X l'a fait.
Avatar de Nnexxus INpactien
Nnexxus Le vendredi 15 janvier 2010 à 13:45:03
Inscrit le dimanche 19 juin 05 - 758 commentaires
Surfez uniquement depuis un live-CD d'openBSD, y'a que ça de vrai
Avatar de Ph11 INpactien
Ph11 Le vendredi 15 janvier 2010 à 13:46:18
Inscrit le mardi 15 mai 07 - 8269 commentaires

tu peux me dire comment tu exploites une faille de corruption mémoire quand DEP est activé?

En exploitant une faille de DEP ?

alors ne la ramene pas alors que ton cher firefox a servi de vecteur d'attaque pour la faille 0day de adobe reader ces 4 dernieres semaines... (alors qu'IE7/8 sous vista /7 protege contre ce type d'attaque)

Tu parles du mode protégé développé en étroite collaboration avec les devs de FF ?

Edité par Ph11 le vendredi 15 janvier 2010 à 13:48
Avatar de Amethyste INpactien
Amethyste Le vendredi 15 janvier 2010 à 13:46:26
Inscrit le mardi 20 novembre 07 - 4191 commentaires
On se la fait quand d'ailleurs cette attaque de PCINpact à coups de connexion via Links ?
Avatar de MdMax INpactien
MdMax Le vendredi 15 janvier 2010 à 13:46:29
Inscrit le lundi 14 mai 07 - 2960 commentaires

Microsoft has not seen widespread customer impact, rather only targeted and limited attacks exploiting IE 6 at this time.


Comme quoi vous voyez, Google c'est vachement fragile. 5 gus sous IE6 dans un garage qui attaquent, et voilà que le géant du net prend la fuite d'un pays.

mdr2.gif


Edité par MdMax le vendredi 15 janvier 2010 à 13:47
Avatar de boglob INpactien
boglob Le vendredi 15 janvier 2010 à 13:47:13
Inscrit le jeudi 4 janvier 07 - 668 commentaires
J'étais en train de lire l'article en me disant "faut que je regarde si j'ai la faille pour la corriger" quand tout a coup!
"A ben merde! c'est vrai que j'utilise plus IE depuis des années!"


et tu crois que les autres navigateurs n'en ont pas ? tu t'appeles oui-oui et tu vis au pays des bisounours toi.
Avatar de Ph11 INpactien
Ph11 Le vendredi 15 janvier 2010 à 13:50:58
Inscrit le mardi 15 mai 07 - 8269 commentaires
Mieux vaut vivre qu pays des bisounours qu'en Mordor.
Avatar de link385 INpactien
link385 Le vendredi 15 janvier 2010 à 13:51:18
Inscrit le lundi 12 mai 03 - 3178 commentaires

Comme quoi vous voyez, Google c'est vachement fragile. 5 gus sous IE6 dans un garage qui attaquent, et voilà que le géant du net prend la fuite d'un pays.

mdr2.gif


en tout cas on voit bien que google et sa lutte anti IE/IE6 est hypocrite puisqu'en internet ils utilisents toujours du XP/IE6... (sinon ils n'auraient pas été vulnérables à cette attaque)

tiens d'ailleurs, pourquoi ils utilisent pas chrome chez google?

En exploitant une faille de DEP ?

en exploitant une faille dans une fonctionnalité matérielle du processeur? hautement peu probable

cela dit si java est installé sur la machine (et actif dans IE ou tout autre nav supportant pourtant DEP), l'exploitation devient théoriquement possible, bien que très complexe.
Avatar de Vilainkrauko INpactien
Vilainkrauko Le vendredi 15 janvier 2010 à 13:56:30
Inscrit le mardi 24 février 09 - 4234 commentaires

tiens d'ailleurs, pourquoi ils utilisent pas chrome chez google?
Non ils utilisent FF troll.gif
Avatar de siocnarf INpactien
siocnarf Le vendredi 15 janvier 2010 à 13:57:37
Inscrit le jeudi 17 août 06 - 61058 commentaires
Mieux vaut vivre qu pays des bisounours qu'en Mordor.

/me imagine Sauron déménager
;