IE7 : exploitation d'une vulnérabilité récemment corrigée

Le par  |  5 commentaire(s)
ie8log

Une vulnérabilité critique affectant Internet Explorer 7 est actuellement exploitée par des attaquants. Un trou de sécurité pourtant comblé la semaine dernière par Microsoft.

ie8logTrend Micro rapporte l'exploitation d'une vulnérabilité affectant Internet Explorer 7 et permettant à des attaquants distants d'exécuter du code arbitraire sur une machine prise pour cible. L'ampleur de l'attaque est pour le moment indéterminée.

Comme bien souvent, tout commence avec du spam véhiculant un fichier. En l'occurrence, il s'agit d'un soi-disant document à l'extension .doc contenant un objet ActiveX qui accède automatiquement à un site contenant du code HTML malveillant identifié par l'éditeur de solutions de sécurité comme HTML_DLOADER.AS.

Ce code exploite une vulnérabilité de IE7 afin de rapatrier une backdoor qui aura pour mission d'installer un fichier DLL capable de dérober des informations confidentielles pour les envoyer à une URL via le port 443.


De l'intérêt d'appliquer les correctifs Microsoft
Une mécanique bien huilée qui peut pourtant être facilement contrecarrée. Le dernier Patch Tuesday de Microsoft qui date d'à peine une semaine, a en effet diffusé une mise à jour de sécurité cumulative intéressant IE7 avec dans ses bagages un correctif pour la présente vulnérabilité.

Ce n'est pas véritablement une surprise puisque l'on sait que les cybercriminels aiment à tenter d'exploiter des vulnérabilités découvertes dans des produits Microsoft et rendues publiques peu de temps après leur correction. Et pour ce faire, ils disposent parfois de plus de temps que nécessaire comme en témoigne le cas du ver Conficker qui continue de compromettre des millions de machines, alors même que Microsoft a pris soin de publier en urgence un correctif de sécurité dès le mois d'octobre 2008...

De quoi énerver passablement la firme de Redmond qui a décidé d'offrir 250 000 dollars à toute personne apportant une information susceptible de permettre l'arrestation de son auteur.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #416071
Une occasion rêvée pour l'auteur du ver de devenir riche : il n'a qu'à se dénoncer et il empoche les 250 000 dollars normalement, non ? Ca vaudrait peut-être le coup de faire un peu de prison !
Le #416131
Microsoft devrait donner 250 000 $ à la personne qui développe un OS digne de ce nom !
Le #416261
GabSoftware Admin
"Ca vaudrait peut-être le coup de faire un peu de prison !"
Bien entendu, la prison n'est qu'une broutille dans une vie...

koschka >Mais oui, mais oui
Le #416371
@koschka : écrire un OS comme XP ou Vista pour 250000$ tu rêves un peu, c'est peut être juste la somme que doit couter l'achat des feuilles de papier par mois chez Microsoft...
Quand à penser que ceux qui développe Linux, le font gratuitement, il faut être très naïf pour le croire.

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]