S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Chine : une faille 0 Day d‘Internet Explorer utilisée contre Google

Opération Aurora

Google a annoncé sur son blog avoir subi une cyber-attaque le mois dernier contre ses infrastructures chinoises, avec à la clef, le vol de certaines de ses propriétés intellectuelles. L’attaque informatique subie par la firme et une vingtaine d’autres sociétés a déjà un nom : l’Opération Aurora, nom trouvé dans les lignes de code d’un nouvel exploit « 0 Day ». Selon les investigations de l’éditeur McAfee, l’attaque s’appuie sur une faille critique non corrigée d’Internet Explorer. Et c’est donc elle qui a déclenché la goutte de trop que l’on sait entre Moutain View et les autorités chinoises.

google chine cn internet explorer

Sans évoquer la question Google, Microsoft a déjà publié un bulletin d’alerte spécial sur son site confirmant la faille, ainsi qu'un post sur son blog. La faille concerne à peu près toutes les versions d’Internet Explorer (5, 6, 7, 8) sauf Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 SP4.

Elle exploite une erreur dans la gestion de la mémoire (pointeur invalide), précisément dans la manipulation de certains DOM (Document object Model) entre les mains du navigateur.

Dans le scénario d’attaque web, il suffit d’une page spécialement conçue pour exploiter la vulnérabilité. Ne reste plus alors qu’à persuader une personne de visiter la page, par exemple par le biais d’un lien dans un email, une pub, etc. pour offrir à l’attaquant le même niveau de droit que l’utilisateur local. De fait, l’internaute qui surfe avec des droits d’administrateur sera plus à risque qu’un autre...

Dans ce mauvais scénario, l’utilisateur distant pourra alors exécuter du code sur cette machine, virus et autres chevaux de Troie. Selon les premières investigations, l’attaque s’appuie justement sur un troyen qui se lance à chaque démarrage et permet au pirate de voir, créer ou modifier des informations sur la machine locale. Celui qui parvient à mener à bien cette attaque peut alors « commencer à siphonner de précieuses données de l'entreprise » souligne McAfee.

En attendant un patch officiel, les premières mesures à prendre sont listées par le site spécialisée Secuser.com. Elles consistent à activer la Data Execution Prevention (DEP) de Windows, et dans le même temps à désactiver l’Active Scripting dans les zones de sécurité "Internet" et "Intranet Local" du navigateur Internet Explorer. Précision importante : le DEP est activé par défaut depuis Windows XP SP2, rendant plus complexe l'exploitation de la faille. Il faut néanmoins activer manuellement cette protection pour Internet Explorer 6 et 7. D'autre part, sous Vista et Windows 7, Internet Explorer fonctionne dans un espace isolé.

Seule assurance : Aurora a servi à des attaques très ciblées, il n’y a pas encore d’exploitation « large ».
Marc Rees

Journaliste, rédacteur en chef

Publiée le 15/01/2010 à 10:53

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 195 commentaires

Avatar de GruntZ INpactien
GruntZ Le vendredi 15 janvier 2010 à 13:59:13
Inscrit le jeudi 7 septembre 06 - 601 commentaires
Surfez uniquement depuis un live-CD d'openBSD, y'a que ça de vrai
C'est un peu caricatural, mais à peine.

Vu les rares usages que j'ai de la VM qui contient mon seul XP, j'ai fini par lui couper totalement l'accès au réseau (avant, il était en NAT derrière le FW de mon pingouin).

Utiliser un ecosystème Microsoft complet, même à jour, en étant connecté, c'est comme s'habiller de rouge un jour de Féria. C'est peut-être bon pour l'adrénaline, mais tôt ou tard, on se prend un coup de corne.
Celui qui attaque à toujours un coup d'avance sur celui qui défend.

Edité par GruntZ le vendredi 15 janvier 2010 à 14:00
Avatar de MdMax INpactien
MdMax Le vendredi 15 janvier 2010 à 14:02:40
Inscrit le lundi 14 mai 07 - 2960 commentaires

en tout cas on voit bien que google et sa lutte anti IE/IE6 est hypocrite puisqu'en internet ils utilisents toujours du XP/IE6... (sinon ils n'auraient pas été vulnérables à cette attaque)

tiens d'ailleurs, pourquoi ils utilisent pas chrome chez google?


Qui te dit que l'attaque était réalisée depuis des machines des employés Google ? Ici les attaquants sont plutôt des internautes qui ont visité une page malicieuse avec un ordinateur infecté avec IE.

D'ailleurs c'est vrai que Google utilise encore IE... mais ça leur sert dans les robots pour vérifier si une page contient du malware... IE étant un véritable buvard pour ce genre de choses.
Avatar de beber_1 INpactien
beber_1 Le vendredi 15 janvier 2010 à 14:11:25
Inscrit le jeudi 13 septembre 07 - 16176 commentaires


+ j'apporte les sodas?

Avatar de lol.2.dol INpactien
lol.2.dol Le vendredi 15 janvier 2010 à 14:14:00
Inscrit le mercredi 27 décembre 06 - 2958 commentaires

+ j'apporte les sodas?


Pourquoi de pas de la bière
Avatar de beber_1 INpactien
beber_1 Le vendredi 15 janvier 2010 à 14:16:03
Inscrit le jeudi 13 septembre 07 - 16176 commentaires
je le fais plus, à chaque fois je décroche du fil dès le 2me pack
Avatar de tass_ INpactien
tass_ Le vendredi 15 janvier 2010 à 14:16:47
Inscrit le mardi 14 novembre 06 - 3506 commentaires
C'est l'age béber... les vieux ça tient plus !
Avatar de Tuttle7 INpactien
Tuttle7 Le vendredi 15 janvier 2010 à 14:34:58
Inscrit le mardi 28 juillet 09 - 745 commentaires
Tout de suite activer le DEP... Y'as moins radical
Avatar de link385 INpactien
link385 Le vendredi 15 janvier 2010 à 14:35:12
Inscrit le lundi 12 mai 03 - 3178 commentaires

Qui te dit que l'attaque était réalisée depuis des machines des employés Google ?



l'article
Google a annoncé sur son blog avoir subi une cyber-attaque le mois dernier contre ses infrastructures chinoises, avec à la clef, le vol de certaines de ses propriétés intellectuelles.

d'autres sites confirment qu'il s'agit de tentatives de social engineering visant les employés de google (quelqu'un a tenté de leur faire visiter un site contenant cet exploit pour infecter leurs machines sous xp/IE6)


Ici les attaquants sont plutôt des internautes qui ont visité une page malicieuse avec un ordinateur infecté avec IE.


non, il est dit dans les articles qui parlent de cette attaque qu'il s'agit d'une attaque ciblée qui ne touche que IE6 (bien que la faille existe dans IE7 et IE8) et qui n'est pas exploitée pour mener des attaques contre des utilisateurs au hasard.


D'ailleurs c'est vrai que Google utilise encore IE... mais ça leur sert dans les robots pour vérifier si une page contient du malware... IE étant un véritable buvard pour ce genre de choses.


mais bien sûr...
en tout cas l'attaque visait des employés de google utilisant IE6. Quant au fait qu'IE soit un buvard à malware, que dire de firefox qui n'a dispose d'aucune protection contre les failles 0day visant son moteur et ses plugins?

L'exploitation de failles dans adobe reader est devenu le vecteur numéro d'exploitation de failles 0day. Et firefox est en premiere ligne... contrairement à IE7/8 sous vista/7 qui sont protégés contre ce type d'attaque puisque les plugins d'adobe tournent dans le sandbox d'IE.
Avatar de link385 INpactien
link385 Le vendredi 15 janvier 2010 à 14:36:27
Inscrit le lundi 12 mai 03 - 3178 commentaires
Tout de suite activer le DEP... Y'as moins radical


euh... installer un logiciel tiers est plus radical que d'activer un simple parametre de sécurité pour IE6/7... d'autant plus que sous vista IE7 est déjà sandboxé!

Edité par link385 le vendredi 15 janvier 2010 à 14:36
Avatar de Vincent_H Equipe
Vincent_H Le vendredi 15 janvier 2010 à 14:38:56
Inscrit le jeudi 30 janvier 03 - 15417 commentaires
Étant donné le nombre de trolls, tous ceux qui seront publiés après ce message seront supprimés et leur auteur bloqué sur cette actualité.
;