S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

La récente faille 0-Day d’Internet Explorer déjà exploitée

Jfais des trous, des ptits trous...

La dernière faille de type 0-Day touchant Internet Explorer est d’ores et déjà exploitée en ligne. L’éditeur Mc Afee a été alerté d’une attaque émanant du domaine topix21cent***.com où l’internaute est dirigé vers une page piégée qui le contraindra à télécharger et exécuter notes.exe ou svohost.exe, deux fichiers abritant des portes dérobées. À cette occasion, un fichier DLL est injecté sur la machine cible, donnant un accès distant à un attaquant. La seule visite de la page suffit à l’infection.

Morguefile trou faille sécuritéSelon Mc Afee, cette backdoor autorise l’utilisateur malveillant à compromettre le fichier selon différentes voies, incluant l’upload, le téléchargement et l’exécution de fichiers, ou l’arrêt de processus en cours d’utilisation.

Dans son dernier bulletin d’alerte, Microsoft a donné quelques détails sur cette faille critique touchant Internet Explorer 6 et 7. En cause, la référence à un pointeur invalide. Le très officiel Certa (Centre d’expertise de réponse et de traitement des attaques informatiques) recommande, en attendant un patch officiel, plusieurs techniques de contournement visant à retirer les droits d’accès à la bibliothèque Ipeers.dll. « Ceci peut avoir des effets de bord sur certaines fonctionnalités étendues de MSHTML (impression, répertoires Web) » note-t-il. « Ce contournement fonctionne pour tous les vecteurs d'attaque (page Web, document Office, etc.) et est donc recommandé même si Internet Explorer n'est pas le logiciel par défaut utilisé pour la navigation. L'installation d'Internet Explorer 8 permet également de contourner la vulnérabilité pour tous les vecteurs d'attaque ».

Marc Rees

Journaliste, rédacteur en chef

Publiée le 11/03/2010 à 10:42

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 76 commentaires

Avatar de link385 INpactien
link385 Le jeudi 11 mars 2010 à 16:56:13
Inscrit le lundi 12 mai 03 - 3178 commentaires

Bon pour en revenir à IE, quand Microsoft raconte dans son paragraphe "protected mode" que la vulnérabilité pourrait permettre d'obtenir les mêmes droits que l'utilisateur, ça veut bien dire qu'il y a un trou dans le sandbox ou pas ?


non
c'est un texte standard qui est copié collé dans chaque bulletin de sécurité affectant IE

d'ailleurs ya deux ans ils mentionnaient meme pas le mode protégé alors qu'il existe depuis plus de 3ans.

le texte dit que dans le pire des cas, on peut executer du code avec les privileges de l'utilisateur MAIS si l'utilisateur tourne sous vista avec l'uac activé, le mode protégé réduit bien le risque.
Avatar de link385 INpactien
link385 Le jeudi 11 mars 2010 à 17:03:03
Inscrit le lundi 12 mai 03 - 3178 commentaires
En parlant de service public, l'Assemblée Nationale a migré sur du 100% Libre et cela semble être un succès.


c'est pas comme si nos députés allaient souvent à l'assemblée...
le peu de temps qu'ils y vont, je doute qu'ils séjournent longtemps dans leur bureau... je doute que la plupart d'entre eux ait même déjà allumé ne serait-ce qu'une seule fois le PC fourni par le service info de l'assemblée nationale


Ben en entreprise, soit t'es admin sur ton poste et t'updates IE donc plus de problème, soit t'es en, compte limité et donc ce n'est pas grave car dans la news précédente il était dit qu'un compte classique limitait l'impact de l'exploitation.



les comptes utilisateur limité ne sont pas la panacée... les malwares tournant en mode utilisateur sont dangereux quand même, car ils peuvent faire énormément de sale boulot (vol d'informations confidentielles, infections de clefs usb, brute force sur le réseau pour trouver le mdp admin d'un serveur, controle à distance, envoi de spam, ...)

Cette Sandbox n'existe-elle pas uniquement depuis Vista ? Il me semble que sur XP, ça ne fonctionne pas.


effectivement, elle est spécifique à vista et 7.
seul chrome est sandboxé sous xp (mais pas completement, car une faille dans chrome/xp permet quand meme d'ecrire sur les lecteurs formatés en fat, donc au final si une clef usb est branchée ou un lecteur réseau connecté, l'utilisateur se fera rapidement infecter par l'autorun, s'il n'a pas été desactivé)
Avatar de link385 INpactien
link385 Le jeudi 11 mars 2010 à 17:05:45
Inscrit le lundi 12 mai 03 - 3178 commentaires
En plus y'a Microsoft qui se contredit sur son site:

http://www.microsoft.com/technet/security/advisory/981374.mspx

http://www.microsoft.com/windows/windows-vista/features/IE7-protected-mode.aspx

Bref... le sandbox protège les fichiers de l'utilisateur, ou pas ?


oui la sandbox protège bien contre les accès en écriture aux fichiers de l'utilisateur.

mais microsoft parle toujours du cas le plus critique lorsqu'il évalue la dangerosité d'une faille, car les utilisateurs qui desactivent l'uac ne sont pas protégés par la sandbox d'IE. Idem sous xp où il n'y a pas de sandbox pour IE7.
Avatar de saga9 INpactien
saga9 Le jeudi 11 mars 2010 à 17:11:12
Inscrit le samedi 10 septembre 05 - 1268 commentaires

c'est pas comme si nos députés allaient souvent à l'assemblée...
le peu de temps qu'ils y vont, je doute qu'ils séjournent longtemps dans leur bureau... je doute que la plupart d'entre eux ait même déjà allumé ne serait-ce qu'une seule fois le PC fourni par le service info de l'assemblée nationale

Pour informations, il n'y a pas que les députés qui travaillent à l'Assemblée Nationale.
De plus, peu importe qu'ils y séjournent 24H/24 ou pas, cet exemple venait contredire les propos de notre ami qui prétendait que toute migration étaient impossible dans les services publics.
Pour le reste de ton propos, je te laisse penser ce que tu veux.




Edité par saga9 le jeudi 11 mars 2010 à 17:12
Avatar de link385 INpactien
link385 Le jeudi 11 mars 2010 à 17:20:22
Inscrit le lundi 12 mai 03 - 3178 commentaires
tout a fait, cependant le support de windows xp prend fin, pour les entreprises en 2012 si je ne dit pas de conneries, ce qui veut dire que passer cette date, les entreprises migrerons en grosse majorité (vers quoi, on verras) et que par la meme la plupart des ie6 passerons a la trappe



microsoft propose des solutions pour rester secure malgré un intranet basé sur IE6.

avec Med-V (http://www.microsoft.com/windows/enterprise/products/mdop/med-v.aspx ) il est possible de déployer sur toutes les machines de l'entreprise une VM invisible aux yeux de l'utilisateur qui va permettre de lancer IE6 sur le bureau de windows vista/7.

L'interet par rapport à ce qui se fait déjà dans les logiciels de virtualisation classique, et d'ailleurs ce qui rend l'utilisation d'IE6 plus secure, c'est que le systeme est basé sur des listes de compatibilité:

si l'utilisateur ouvre l'url d'un site intranet marqué comme compatible IE6 seulement depuis IE7 ou 8, la VM xp va démarrer en arriere plan (si elle n'est pas déjà démarrée) et IE6 va s'ouvrir sur la page demandée par l'utilisateur.
inversement, si l'utilisateur tente d'ouvrir un site internet dans IE6, c'est la fenetre d'IE7/8 qui va s'ouvrir et afficher le site en question, afin de ne pas etre vulnérable aux failles d'IE6.

ce type de solution est vraiment superbe, car l'utilisateur n'a pas besoin de se demander sous quel navigateur il doit ouvrir un site, et il n'y a donc pas de risque qu'il aille accidentellement sur un site malveillant avec IE6.

bref, si les entreprises veulent migrer vers IE7/8, elles le peuvent, à condition d'avoir des pc avec au moins 1go de ram pour la VM xp.

je suppose que beaucoup d'entreprise utiliseront un tel systeme lorsque IE6 ne sera plus supporté, car je doute que d'ici 4ans IE6 ait totalement disparu des entreprises.

cela dit, même aujourd'hui il y a des grosses entreprises qui utilisents des IE6 non patchés, donc la sécurité n'est pas leur préoccupation primaire... dans de telles conditions, elles pourraient très bien encore utiliser IE6 en 2015 lorsqu'il ne sera plus supporté ^^
Avatar de manudwarf Modérateur
manudwarf Le jeudi 11 mars 2010 à 17:32:36
Inscrit le dimanche 14 décembre 08 - 4183 commentaires


microsoft propose des solutions pour rester secure malgré un intranet basé sur IE6.

avec Med-V (http://www.microsoft.com/windows/enterprise/products/mdop/med-v.aspx ) il est possible de déployer sur toutes les machines de l'entreprise une VM invisible aux yeux de l'utilisateur qui va permettre de lancer IE6 sur le bureau de windows vista/7.

L'interet par rapport à ce qui se fait déjà dans les logiciels de virtualisation classique, et d'ailleurs ce qui rend l'utilisation d'IE6 plus secure, c'est que le systeme est basé sur des listes de compatibilité:

si l'utilisateur ouvre l'url d'un site intranet marqué comme compatible IE6 seulement depuis IE7 ou 8, la VM xp va démarrer en arriere plan (si elle n'est pas déjà démarrée) et IE6 va s'ouvrir sur la page demandée par l'utilisateur.
inversement, si l'utilisateur tente d'ouvrir un site internet dans IE6, c'est la fenetre d'IE7/8 qui va s'ouvrir et afficher le site en question, afin de ne pas etre vulnérable aux failles d'IE6.

ce type de solution est vraiment superbe, car l'utilisateur n'a pas besoin de se demander sous quel navigateur il doit ouvrir un site, et il n'y a donc pas de risque qu'il aille accidentellement sur un site malveillant avec IE6.

bref, si les entreprises veulent migrer vers IE7/8, elles le peuvent, à condition d'avoir des pc avec au moins 1go de ram pour la VM xp.

je suppose que beaucoup d'entreprise utiliseront un tel systeme lorsque IE6 ne sera plus supporté, car je doute que d'ici 4ans IE6 ait totalement disparu des entreprises.

cela dit, même aujourd'hui il y a des grosses entreprises qui utilisents des IE6 non patchés, donc la sécurité n'est pas leur préoccupation primaire... dans de telles conditions, elles pourraient très bien encore utiliser IE6 en 2015 lorsqu'il ne sera plus supporté ^^

Qu'est ce qu'on fait pas pour compenser du code mal fait
Avatar de link385 INpactien
link385 Le jeudi 11 mars 2010 à 17:43:36
Inscrit le lundi 12 mai 03 - 3178 commentaires
Qu'est ce qu'on fait pas pour compenser du code mal fait


il n'y a pas tant de failles que ça dans IE6... c'est juste que le peu de failles qu'on trouve est systématiquement exploitée, vu que IE6 a énormément de PDM en entreprise, et que 20% des IE6 ne sont jamais patchés, l'enjeu financier est donc important pour les black hats.

voir mon post d'hier qui expliquait que le code d'IE6 est assez robuste (mais pas autant que celui d'IE8 évidemment)
Avatar de manudwarf Modérateur
manudwarf Le jeudi 11 mars 2010 à 17:47:48
Inscrit le dimanche 14 décembre 08 - 4183 commentaires

il n'y a pas tant de failles que ça dans IE6... c'est juste que le peu de failles qu'on trouve est systématiquement exploitée, vu que IE6 a énormément de PDM en entreprise, et que 20% des IE6 ne sont jamais patchés, l'enjeu financier est donc important pour les black hats.

voir mon post d'hier qui expliquait que le code d'IE6 est assez robuste (mais pas autant que celui d'IE8 évidemment)

Ah non je parlais des intranet IE6-only
Avatar de Melchissedech INpactien
Melchissedech Le jeudi 11 mars 2010 à 19:11:33
Inscrit le vendredi 24 février 06 - 6026 commentaires
Il faudrait penser à faire les mises à jour
Avatar de korbé INpactien
korbé Le jeudi 11 mars 2010 à 21:19:33
Inscrit le vendredi 31 juillet 09 - 2097 commentaires
Quoi? Une news sur un problème de sécurité sous Windows et aucun Windowsien n'a craché sur un autre OS pour dire "c'est pas mieux ailleurs"?

Beu

Mais bon, trois pages sur ce genre de news sans lire les mots "linux" et "mac os", c'est quand même rare.

(Maintenant que j'ai dit les mots magiques, je sens les troll arriver en courant )
;