Une nouvelle faille d'Internet Explorer déjà attaquée

Internet Explorer 6, 7 et 8, quelle que soit la version de Windows, comportent une faille de sécurité permettant d’exécuter du code malveillant à l’insu de l’utilisateur. Selon Microsoft, la vulnérabilité a été exploitée pour lancer des attaques ciblées.

Microsoft a publié une alerte de sécurité faisant état d'une faille non corrigée dans les différentes versions d'Internet Explorer (hormis IE9) et permettant de lancer des attaques distantes sur une machine vulnérable.

L'éditeur confirme par ailleurs que cette vulnérabilité a d'ores et déjà été exploitée pour lancer des attaques ciblées contre des entreprises - mais sans préciser lesquelles. Ces attaques ont été menées par le biais de courriers électroniques comprenant une URL.

Une attaque ciblée grâce à une page malveillante dans un site légitime

En se rendant sur ce site, les internautes déclenchaient l'exécution du code hébergé dans la page (d'un site légitime basé aux Etats-Unis et dont le nom n'est pas révélé) et l'infection de leur poste. L'exploit a été développé pour fonctionner avec les versions 6 et 7 d'Internet Explorer.

Toutefois Microsoft précise qu'IE8 est également vulnérable, hormis dans sa configuration par défaut, c'est-à-dire avec la fonction DEP (Data Execution Prevention) activée. Cette vulnérabilité d'Internet Explorer est exploitable sur les différentes versions de Windows, y compris Windows 7 (32 et 64-bit).

Symantec précise à CNET.com qu'un script dans la page piégée permet d'extraire les versions du navigateur et de l'OS de l'internaute. Lorsqu'une plate-forme vulnérable est détectée, un programme s'exécute silencieusement, c'est-à-dire sans notification ni demande de confirmation à l'utilisateur. Si l'internaute se connecte via un navigateur non vulnérable, seule une page blanche s'affiche à l'écran.

Lors de l'infection, une porte dérobée est installée, permettant à la machine compromise de se connecter à un serveur distant hébergé en Pologne. Pour prévenir l'exploitation de cette nouvelle vulnérabilité 0-day d'Internet Explorer, Microsoft recommande notamment d'activer la fonction DEP, la lecture des emails en mode texte et le paramétrage en mode élevé de la sécurité d'Internet Explorer pour les zones Internet et Intranet local afin de bloquer les contrôles ActiveX et Active Scripting.

Un utilitaire de type Fix-it permettant d'automatiser la configuration des mesures de contournement préconisées par Microsoft devrait être disponible dès aujourd'hui selon Jerry Bryant, responsable de l'équipe de sécurité de Microsoft. En revanche, aucune date pour la diffusion d'un correctif n'a été communiquée pour le moment.

Voir aussi notre galerie d'images : 10 techniques pour détecter un virus informatique

Auteur : Christophe Auffray, ZDNet France

Sur le même sujet : "Alerte à la faille de sécurité sur Internet Explorer" par Stéphane Long, 01net

Les derniers produits des risques professionnels

Réagissez en laissant votre commentaire !