La société FireEye a trouvé deux vulnérabilités de type zero day dans IE 7, 8, 9 et 10 avec des attaques sur des PC fonctionnant sous Windows XP ou Seven. Darien Kindlunf, directeur du centre de menace de FireEye souligne que, « l'attaque est assez précise dans ses méthodes de ciblage. De type « watering hole » (trou d'eau), elle a été mise en place pour se déclencher seulement à certains moments et depuis des PC localisés à certains endroits sur le réseau ».

Dans une attaque de type trou d'eau, les cybercriminels identifient les cibles probables, même de manière individuelle pour connaître les sites qu'ils consultent fréquemment. En fonction de cela, les pirates compromettent un ou plusieurs de ces sites pour piéger les cibles. Darien Kindlund a refusé de nommer le site compromis, mais a simplement indiqué que le sujet était la politique de sécurité intérieure et extérieure. Les utilisateurs, dont l'adresse IP a été identifiée comme cible et qui ont surfé sur ce site compromis via IE, ont vu leurs PC silencieusement détournés.

Une attaque éphémère qui vise la mémoire vive


Cette attaque est assez inhabituelle, car elle n'a laissé aucune trace sur le disque dur de l'ordinateur. Les pirates ont chargé du code d'attaque directement en mémoire où il a été exécuté. Comme cette charge utile malveillante est non-persistante, le code disparaît lorsque le PC est redémarré, processus qui efface la mémoire vive du système. Cette méthode exploitant la RAM était habituellement utilisée dans des attaques pour voler des comptes bancaires. « Elle n'a pas été vue auparavant dans des attaques ciblées qui semblent être liés à des organisations cybercriminels peut être en lien ou pas avec des Etats », explique Darien Kindlund. Il ajoute que les avantages d'une offensive éphémère, c'est qu'elle est beaucoup plus difficile à détecter.

Cependant, les chercheurs de FireEye ont réussi à trouver une trace et ont publié sur un blog des détails sur le code d'attaque. Ils ont également noté un lien possible avec l'infrastructure de commandes et contrôle de cette intrusion  avec une campagne de piratage initiée en août 2013, connue sous le nom « DeputyDog » et qui visait des entreprises basées au Japon.

Microsoft a indiqué hier qu'un correctif sur cette vulnérabilité a été mis en place dans le cadre du Patch Tuesday du mois de novembre.