La récente faille 0-Day d’Internet Explorer déjà exploitée
Jfais des trous, des ptits trous...
La dernière faille de type 0-Day touchant Internet Explorer est d’ores et déjà exploitée en ligne. L’éditeur Mc Afee a été alerté d’une attaque émanant du domaine topix21cent***.com où l’internaute est dirigé vers une page piégée qui le contraindra à télécharger et exécuter notes.exe ou svohost.exe, deux fichiers abritant des portes dérobées. À cette occasion, un fichier DLL est injecté sur la machine cible, donnant un accès distant à un attaquant. La seule visite de la page suffit à l’infection.
Selon Mc Afee, cette backdoor autorise l’utilisateur malveillant à compromettre le fichier selon différentes voies, incluant l’upload, le téléchargement et l’exécution de fichiers, ou l’arrêt de processus en cours d’utilisation.
Dans son dernier bulletin d’alerte, Microsoft a donné quelques détails sur cette faille critique touchant Internet Explorer 6 et 7. En cause, la référence à un pointeur invalide. Le très officiel Certa (Centre d’expertise de réponse et de traitement des attaques informatiques) recommande, en attendant un patch officiel, plusieurs techniques de contournement visant à retirer les droits d’accès à la bibliothèque Ipeers.dll. « Ceci peut avoir des effets de bord sur certaines fonctionnalités étendues de MSHTML (impression, répertoires Web) » note-t-il. « Ce contournement fonctionne pour tous les vecteurs d'attaque (page Web, document Office, etc.) et est donc recommandé même si Internet Explorer n'est pas le logiciel par défaut utilisé pour la navigation. L'installation d'Internet Explorer 8 permet également de contourner la vulnérabilité pour tous les vecteurs d'attaque ».
Selon Mc Afee, cette backdoor autorise l’utilisateur malveillant à compromettre le fichier selon différentes voies, incluant l’upload, le téléchargement et l’exécution de fichiers, ou l’arrêt de processus en cours d’utilisation. Dans son dernier bulletin d’alerte, Microsoft a donné quelques détails sur cette faille critique touchant Internet Explorer 6 et 7. En cause, la référence à un pointeur invalide. Le très officiel Certa (Centre d’expertise de réponse et de traitement des attaques informatiques) recommande, en attendant un patch officiel, plusieurs techniques de contournement visant à retirer les droits d’accès à la bibliothèque Ipeers.dll. « Ceci peut avoir des effets de bord sur certaines fonctionnalités étendues de MSHTML (impression, répertoires Web) » note-t-il. « Ce contournement fonctionne pour tous les vecteurs d'attaque (page Web, document Office, etc.) et est donc recommandé même si Internet Explorer n'est pas le logiciel par défaut utilisé pour la navigation. L'installation d'Internet Explorer 8 permet également de contourner la vulnérabilité pour tous les vecteurs d'attaque ».
Le 11 mars 2010 à 10:42
(19 784
lectures)
Il y a 76 commentaires
INpactien
Bon pour en revenir à IE, quand Microsoft raconte dans son paragraphe "protected mode" que la vulnérabilité pourrait permettre d'obtenir les mêmes droits que l'utilisateur, ça veut bien dire qu'il y a un trou dans le sandbox ou pas ?
non
c'est un texte standard qui est copié collé dans chaque bulletin de sécurité affectant IE
d'ailleurs ya deux ans ils mentionnaient meme pas le mode protégé alors qu'il existe depuis plus de 3ans.
le texte dit que dans le pire des cas, on peut executer du code avec les privileges de l'utilisateur MAIS si l'utilisateur tourne sous vista avec l'uac activé, le mode protégé réduit bien le risque.
INpactien
En parlant de service public, l'Assemblée Nationale a migré sur du 100% Libre et cela semble être un succès.
c'est pas comme si nos députés allaient souvent à l'assemblée...
le peu de temps qu'ils y vont, je doute qu'ils séjournent longtemps dans leur bureau... je doute que la plupart d'entre eux ait même déjà allumé ne serait-ce qu'une seule fois le PC fourni par le service info de l'assemblée nationale
Ben en entreprise, soit t'es admin sur ton poste et t'updates IE donc plus de problème, soit t'es en, compte limité et donc ce n'est pas grave car dans la news précédente il était dit qu'un compte classique limitait l'impact de l'exploitation.
les comptes utilisateur limité ne sont pas la panacée... les malwares tournant en mode utilisateur sont dangereux quand même, car ils peuvent faire énormément de sale boulot (vol d'informations confidentielles, infections de clefs usb, brute force sur le réseau pour trouver le mdp admin d'un serveur, controle à distance, envoi de spam, ...)
Cette Sandbox n'existe-elle pas uniquement depuis Vista ? Il me semble que sur XP, ça ne fonctionne pas.
effectivement, elle est spécifique à vista et 7.
seul chrome est sandboxé sous xp (mais pas completement, car une faille dans chrome/xp permet quand meme d'ecrire sur les lecteurs formatés en fat, donc au final si une clef usb est branchée ou un lecteur réseau connecté, l'utilisateur se fera rapidement infecter par l'autorun, s'il n'a pas été desactivé)
INpactien
En plus y'a Microsoft qui se contredit sur son site:
http://www.microsoft.com/technet/security/advisory/981374.mspx
http://www.microsoft.com/windows/windows-vista/features/IE7-protected-mode.aspx
Bref... le sandbox protège les fichiers de l'utilisateur, ou pas ?
http://www.microsoft.com/technet/security/advisory/981374.mspx
http://www.microsoft.com/windows/windows-vista/features/IE7-protected-mode.aspx
Bref... le sandbox protège les fichiers de l'utilisateur, ou pas ?
oui la sandbox protège bien contre les accès en écriture aux fichiers de l'utilisateur.
mais microsoft parle toujours du cas le plus critique lorsqu'il évalue la dangerosité d'une faille, car les utilisateurs qui desactivent l'uac ne sont pas protégés par la sandbox d'IE. Idem sous xp où il n'y a pas de sandbox pour IE7.
INpactien
c'est pas comme si nos députés allaient souvent à l'assemblée...
le peu de temps qu'ils y vont, je doute qu'ils séjournent longtemps dans leur bureau... je doute que la plupart d'entre eux ait même déjà allumé ne serait-ce qu'une seule fois le PC fourni par le service info de l'assemblée nationale
Pour informations, il n'y a pas que les députés qui travaillent à l'Assemblée Nationale.
De plus, peu importe qu'ils y séjournent 24H/24 ou pas, cet exemple venait contredire les propos de notre ami qui prétendait que toute migration étaient impossible dans les services publics.
Pour le reste de ton propos, je te laisse penser ce que tu veux.
Edité par saga9 le jeudi 11 mars 2010 à 17:12
INpactien
tout a fait, cependant le support de windows xp prend fin, pour les entreprises en 2012 si je ne dit pas de conneries, ce qui veut dire que passer cette date, les entreprises migrerons en grosse majorité (vers quoi, on verras) et que par la meme la plupart des ie6 passerons a la trappe
microsoft propose des solutions pour rester secure malgré un intranet basé sur IE6.
avec Med-V (http://www.microsoft.com/windows/enterprise/products/mdop/med-v.aspx ) il est possible de déployer sur toutes les machines de l'entreprise une VM invisible aux yeux de l'utilisateur qui va permettre de lancer IE6 sur le bureau de windows vista/7.
L'interet par rapport à ce qui se fait déjà dans les logiciels de virtualisation classique, et d'ailleurs ce qui rend l'utilisation d'IE6 plus secure, c'est que le systeme est basé sur des listes de compatibilité:
si l'utilisateur ouvre l'url d'un site intranet marqué comme compatible IE6 seulement depuis IE7 ou 8, la VM xp va démarrer en arriere plan (si elle n'est pas déjà démarrée) et IE6 va s'ouvrir sur la page demandée par l'utilisateur.
inversement, si l'utilisateur tente d'ouvrir un site internet dans IE6, c'est la fenetre d'IE7/8 qui va s'ouvrir et afficher le site en question, afin de ne pas etre vulnérable aux failles d'IE6.
ce type de solution est vraiment superbe, car l'utilisateur n'a pas besoin de se demander sous quel navigateur il doit ouvrir un site, et il n'y a donc pas de risque qu'il aille accidentellement sur un site malveillant avec IE6.
bref, si les entreprises veulent migrer vers IE7/8, elles le peuvent, à condition d'avoir des pc avec au moins 1go de ram pour la VM xp.
je suppose que beaucoup d'entreprise utiliseront un tel systeme lorsque IE6 ne sera plus supporté, car je doute que d'ici 4ans IE6 ait totalement disparu des entreprises.
cela dit, même aujourd'hui il y a des grosses entreprises qui utilisents des IE6 non patchés, donc la sécurité n'est pas leur préoccupation primaire... dans de telles conditions, elles pourraient très bien encore utiliser IE6 en 2015 lorsqu'il ne sera plus supporté ^^
Modérateur
manudwarf
Le jeudi 11 mars 2010 à 17:32:36
#66
Inscrit
le dimanche 14 décembre 08
-
4174
commentaires
microsoft propose des solutions pour rester secure malgré un intranet basé sur IE6.
avec Med-V (http://www.microsoft.com/windows/enterprise/products/mdop/med-v.aspx ) il est possible de déployer sur toutes les machines de l'entreprise une VM invisible aux yeux de l'utilisateur qui va permettre de lancer IE6 sur le bureau de windows vista/7.
L'interet par rapport à ce qui se fait déjà dans les logiciels de virtualisation classique, et d'ailleurs ce qui rend l'utilisation d'IE6 plus secure, c'est que le systeme est basé sur des listes de compatibilité:
si l'utilisateur ouvre l'url d'un site intranet marqué comme compatible IE6 seulement depuis IE7 ou 8, la VM xp va démarrer en arriere plan (si elle n'est pas déjà démarrée) et IE6 va s'ouvrir sur la page demandée par l'utilisateur.
inversement, si l'utilisateur tente d'ouvrir un site internet dans IE6, c'est la fenetre d'IE7/8 qui va s'ouvrir et afficher le site en question, afin de ne pas etre vulnérable aux failles d'IE6.
ce type de solution est vraiment superbe, car l'utilisateur n'a pas besoin de se demander sous quel navigateur il doit ouvrir un site, et il n'y a donc pas de risque qu'il aille accidentellement sur un site malveillant avec IE6.
bref, si les entreprises veulent migrer vers IE7/8, elles le peuvent, à condition d'avoir des pc avec au moins 1go de ram pour la VM xp.
je suppose que beaucoup d'entreprise utiliseront un tel systeme lorsque IE6 ne sera plus supporté, car je doute que d'ici 4ans IE6 ait totalement disparu des entreprises.
cela dit, même aujourd'hui il y a des grosses entreprises qui utilisents des IE6 non patchés, donc la sécurité n'est pas leur préoccupation primaire... dans de telles conditions, elles pourraient très bien encore utiliser IE6 en 2015 lorsqu'il ne sera plus supporté ^^
Qu'est ce qu'on fait pas pour compenser du code mal fait
INpactien
Qu'est ce qu'on fait pas pour compenser du code mal fait
il n'y a pas tant de failles que ça dans IE6... c'est juste que le peu de failles qu'on trouve est systématiquement exploitée, vu que IE6 a énormément de PDM en entreprise, et que 20% des IE6 ne sont jamais patchés, l'enjeu financier est donc important pour les black hats.
voir mon post d'hier qui expliquait que le code d'IE6 est assez robuste (mais pas autant que celui d'IE8 évidemment)
Modérateur
manudwarf
Le jeudi 11 mars 2010 à 17:47:48
#68
Inscrit
le dimanche 14 décembre 08
-
4174
commentaires
il n'y a pas tant de failles que ça dans IE6... c'est juste que le peu de failles qu'on trouve est systématiquement exploitée, vu que IE6 a énormément de PDM en entreprise, et que 20% des IE6 ne sont jamais patchés, l'enjeu financier est donc important pour les black hats.
voir mon post d'hier qui expliquait que le code d'IE6 est assez robuste (mais pas autant que celui d'IE8 évidemment)
Ah non je parlais des intranet IE6-only
INpactien
Melchissedech
Le jeudi 11 mars 2010 à 19:11:33
#69
Inscrit
le vendredi 24 février 06
-
6026
commentaires
Il faudrait penser à faire les mises à jour 
INpactien
Quoi? Une news sur un problème de sécurité sous Windows et aucun Windowsien n'a craché sur un autre OS pour dire "c'est pas mieux ailleurs"?
Beu
Mais bon, trois pages sur ce genre de news sans lire les mots "linux" et "mac os", c'est quand même rare.
(Maintenant que j'ai dit les mots magiques, je sens les troll arriver en courant )
Beu
Mais bon, trois pages sur ce genre de news sans lire les mots "linux" et "mac os", c'est quand même rare.
(Maintenant que j'ai dit les mots magiques, je sens les troll arriver en courant
)
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
GPU-Z 0.7.1 : les GeForce GTX 770 et 780 à l'honneur
(1)
Et les GPU des APU d'AMD aussi -
[MàJ] Quand Google cache des poneys dans Hangouts, mais pas que...
(17)
Poney, aime -
CUDA-Z : tout savoir de votre GPU NVIDIA sous Linux, OS X ou Windows
(7)
Et même quelques benchs -
CPU-Z 1.64 et HWMonitor 1.22 sont de sortie
(0)
Il faut dire qu'il fait soleil aujourd'hui
![[MàJ] Quand Google cache des poneys dans...](http://static.pcinpact.com/images/bd/dedicated/79789.jpg)
-
20 % de remise sur des périphériques Trust
Valable jusqu'au 26 mai -
Sleeping Dogs pour 12,49 €
Valable jusqu'au 27 mai -
SimCity, Les Sims 3 et le DLC Saisons pour 59,99 €
Valable jusqu'au 29 mai -
Une Xbox 360 de 4 Go offerte pour l'achat d'un portable ASUS Vivobook
Valable jusqu'au 26 mai
