0-day : Internet Explorer en vecteur d'une attaque

Le par  |  2 commentaire(s)
Microsoft-SIR

Quelques jours après le Patch Tuesday, une vulnérabilité sans correctif affectant IE10 a été exploitée dans au moins une attaque. IE9 est également vulnérable.

Le timing est diabolique. Microsoft a publié son Patch Tuesday avec un ajout à la dernière minute de correctifs pour Internet Explorer. Mais quelques heures après, une attaque exploite une vulnérabilité non corrigée affectant IE10. Une fenêtre de tir qui augmente l'impact d'une attaque si Microsoft s'en tient à une publication mensuelle.

IE10L'attaque a été découverte par FireEye. Microsoft a été mis au courant et confirme des attaques ciblées contre Internet Explorer afin d'installer un malware sur un ordinateur. La firme de Redmond précise qu'elles visent des utilisateurs d'IE10 mais IE9 est aussi vulnérable. D'après Net Applications, la part d'utilisation de IE10 est de 9,3 % et de 9 % pour IE9.

FireEye a en particulier identifié une attaque via un code malveillant hébergé sur un site à son insu. Ce site est basé aux États-Unis. C'est celui de l'organisation officielle des vétérans de l'armée américaine. Le ménage a été fait et le site n'est désormais plus infecté.

Selon FireEye, l'attaque de type drive-by download (un malware est téléchargé automatiquement lors d'une consultation) s'est appuyée sur un iFrame malveillant injecté dans le site afin de charger la page de l'attaquant en arrière-plan. Lorsque le code est chargé dans le navigateur, un objet Flash permet de mettre en œuvre le reste de l'exploit.

Les techniques utilisées et des similitudes avec des attaques antérieures font penser à FireEye que des hackers chinois sont à la baguette. Ils chercheraient des informations sur des ordinateurs de personnel militaire, à la retraite ou encore en activité.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1657752
Un mois entre chaque patch de correctifs, c'est sûr que ça laisse une bonne fenêtre de tir et le temps d'infecter pas mal d'ordi...

Et si un mois peut paraitre long dans ce genre de cas, que penser des téléphones, que ça soit Android, iOS, Windows Phone, BlackBerry, qui ont des mises à jours souvent espacées d'une année...
Mon Galaxy S2 a reçu une MAJ officielle l'année dernière, et là je viens tout juste d'en recevoir une autre la semaine dernière (oui oui, il est encore mis à jour :P ). Mais combien de failles béantes sont là sans être corrigées, ou corrigées bien trop longtemps après.... Sans parler des téléphones qui ne sont plus mis à jour.
Le #1657792
je serais pour 1 patch/minute, pas le temps de travailler, il faut rebooter.
plus sérieusement, une faille critique devrait entrainer un correctif, et ce, quelque soit l'appareil.

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]