Les chercheurs en sécurité d'ESET ont trouvé ce qui semble être la première exploitation de la vulnérabilité CVE-2014-6332. Une vulnérabilité rare cachée dans le code de Windows depuis Windows 95, ce qui lui vaut d'être taxée d'Unicorn Bug (unicorn signifiant licorne).

licorne Elle a été mise au jour par IBM X-Force Research et Microsoft a publié un patch correctif la semaine dernière. Un patch qu'il est donc désormais de bon ton d'appliquer même si cette opération s'avérera impossible pour le tenace Windows XP qui n'a plus de support de la part de Microsoft.

Le bug est présent au niveau de la bibliothèque logicielle OleAut32 et l'intégration de VBScript à partir d'Internet Explorer 3.0 le rend exploitable à distance. La protection sandbox d'IE11, ni même l'outil anti-exploitation EMET ne font barrage pour une prise de contrôle d'une machine.

Même si ce point est discutable, ESET assimile ladite vulnérabilité à une vulnérabilité d'Internet Explorer. Quoi qu'il en soit, un site compromis et l'exploitant (via un iframe HTML invisible pointant vers l'exploit) afin d'installer un malware sur l'ordinateur de l'internaute a été repéré. En l'occurrence, il s'agit d'un site bulgare d'information mais la contamination devrait s'étendre.

L'exploit est basé sur une preuve de concept publiée par un chercheur chinois. Elle est " facilement modifiable et permet à l'attaquant d'écrire la charge utile en VBScript ". L'exploit repéré par ESET se compose de deux charges utiles : une série de commandes (cmd.exe) et un script PowerShell.

Référencé Win32/IRCBot.NR par ESET, le malware téléchargé peut lancer des attaques DDoS, ouvrir des commandes à distance pour des attaquants. Petite curiosité, il contient une citation d'Albert Einstein : " Quiconque n'a jamais fait d'erreur n'a jamais rien essayé de nouveau. "

L'erreur aujourd'hui serait de ne pas appliquer le correctif de Microsoft...