Cyber-attaque via IE : Microsoft va livrer un patch en urgence... et urgence il y a bien
En réponse à l'attaque de plusieurs sociétés américaines exploitant une faille d'Internet Explorer, Microsoft va livrer très rapidement une rustine, sans attendre le prochain Patch Tuesday. Mais, déjà, la ligne de défense du premier éditeur mondial apparaît bien fragilisée, avec la révélation d'un nouvel exploit développé par les Français de Vupen.
Selon le Microsoft Security Response Center, qui gère la réponse de Redmond aux failles affectant ces technologies, l'éditeur va prochainement sortir une rustine comblant la faille de son navigateur Internet Explorer, faille exploitée par la récente attaque contre de nombreuses sociétés américaines dont Google. L'éditeur a confirmé que ce patch sortirait avant son prochain "mardi de la rustine" (Patch Tuesday), programmée pour le 9 février. La rustine concernerait toutes les versions d'Internet Explorer, selon ZDNet. Elle est actuellement en cours de tests.
Data Execution Prevention : une protection illusoire ?
Plusieurs codes exploitant cette faille circulent sur le Web. Si Microsoft soutient que les attaques n'affectent que la version 6 de son navigateur, et recommande de migrer vers la dernière mouture d'IE (la 8), des chercheurs en sécurité affirment désormais avoir développé des codes permettant de lancer des attaques similaires sur les versions 7 et 8 de l'outil. Le chercheur Dai Zovi explique notamment que la fonction DEP (Data Execution Prevention, une fonction censée bloquer certaines attaques, notamment par débordement de mémoire tampon) - le mécanisme que Microsoft met en avant comme préservant les derniers IE de cette vulnérabilité - est inactive par défaut sur de vieilles versions de Windows (Vista RTM, XP SP2 ou plus anciennes).
Pire : la société française Vupen Security affirme avoir développé un exploit permettant de prendre le contrôle d'une machine même quand la fonction DEP est activée. Si cette société basée à Montpellier réserve le code de cette attaque ciblée sur IE 8 et exploitant JavaScript à la communauté de la sécurité, le contournement de DEP constitue clairement une escalade dans la gravité de la faille mise au jour. Pas réellement une surprise pour Dai Zovi, cité par nos confrères de Computerworld. Ce dernier explique que des techniques de contournement de DEP sont dans la nature depuis plus de deux ans. Le chercheur prévoit d'ailleurs de présenter sa propre méthode en mars, lors de la RSA Conference.
Une bonne publicité pour Chrome
En somme, la ligne de défense mise en place par Microsoft semble d'ores et déjà enfoncée. Les multiples exploit, sur des versions différentes de IE et de Windows, qui fleurissent ça et là amenant par ailleurs pas mal de confusion pour les utilisateurs, qui plus esr parfois bloqué par des liens unissant des applications métiers à d'anciennes versions d'IE. Pour l'heure, malgré les techniques de contournement DE DEP, les configurations basées sur IE 8 ET Windows Vista SP1 ou versions ultérieures apparaissent toutefois comme les plus sûres.
Si elle a touché Google de plein fouet, l'attaque, attribuée aux services de renseignement chinois, pourrait bien finir par avoir un côté positif pour la firme de Mountain View. En jetant la confusion sur la sécurité d'IE, l'opération ouvre en effet un boulevard à Chrome, le navigateur de Google, dont le mode bac à sable est souvent vu par certains experts, notamment Dai Zovi, comme le nec plus ultra en matière de sécurité des navigateurs.
En complément :
- Après l'attaque Google : se passer d'Internet Explorer, plus facile à écrire qu'à faire