CVE-2010-3962 : Nouveau 0day ciblant Internet Explorer et nouveau APT ?

Une nouveau “0day”, utilisé dans des attaques ciblant Internet Explorer, a été détecté par Symantec et remonté à Microsoft.

Suivant Symantec, ce “0day” a été découvert par le biais d’email envoyés à certains organisations ciblées. Ces emails contenaient un lien vers un site web légitime. Ce site web avait été piraté au préalable et diffusait des pages web qui ciblaient les versions 6 et 7 d’Internet Explorer. Une fois la version de navigateur et de l’OS du visiteur détectées, l’exploitation de la nouvelle vulnérabilité d’Internet Explorer entrait en jeux et un téléchargement invisible était lancé et tentait d’installer un cheval de Troie sans que l’utilisateur final ne puisse détecter quoi que ce soit. Ce cheval de Troie se connectait ensuite sur un serveur en Pologne, lui aussi piraté au préalable, pour récupérer les commandes à exécuter sur l’ordinateur infecté.

Microsoft a été prévenu de la nouvelle vulnérabilité par Symantec, qui a confirmé l’exploitation possible sous Internet Explorer 6, 7 et 8 par le biais d’un bulletin de sécurité MSA-2458511. Dans ce bulletin de sécurité, et sur le blog de “Microsoft Security Response Center” (MSRC), l’on peut y apprendre qu’effectivement les versions vulnérables sont Internet Explorer 6, 7 et 8 sur la majorité des plates-formes Microsoft supportées.

Par contre, la version d’Internet Explorer 8 semble la moins exposée à l’exploitation de cette vulnérabilité, du fait que le support de DEP (Data Execution Prevention) est activé par défaut dans cette version du navigateur phare de Microsoft. DEP permet de réduire l’impact des attaques en prévenant l’exécution de code dans des segments de mémoire déclarés comme non exécutables. Il est possible d’activé DEP aussi sur Internet Explorer 7 en utilisant “Enhanced Mitigation Experience Toolkit v2.0” (EMET).

Cette nouvelle vulnérabilité affecte effectivement toutes les plate-formes, ainsi que tous les navigateurs supportés par Microsoft, par contre l’exploitation de celle-ci n’a l’air d’être utilisée actuellement que contre des cibles bien précises, une nouvelle attaque ciblée du type Stuxnet (APT). Ce type d’attaque ciblée contre des organisations devient de plus en plus courantes, et la plupart du temps les “0day” découverts reviennent assez rapidement dans le domaine publique pour être exploités en masse sur tous types d’internautes.

Microsoft devrait, normalement, fournir une mise à jour comme chaque deuxième mardi du mois. N’hésitez pas à effectuer celle-ci, même si pour l’instant vous n’êtes pas une cible intéressante, demain vous pourriez l’être.

Ci-dessous des statistiques décrivant la répartition des versions d’Internet Explorer utilisées par les lecteurs ZATAZ :

  • 71.77% des lecteurs ZATAZ sous IE ont la version 8
  • 16.04% des lecteurs ZATAZ sous IE ont la version 7
  • 9.85% des lecteurs ZATAZ sous IE ont la version 6
  • 2.31% des lecteurs ZATAZ sous IE ont la version 9