La faille de sécurité identifiée par les chercheurs de Sophos porte la référence CVE-2012-1889. C'est une vulnérabilité de type zero-day. Cela signifie qu'elle peut-être activement exploitée et qu'il n'existe encore aucun correctif officiel pour la neutraliser. Celle-ci permet à des attaquants d'exécuter du code malveillant sur l'ordinateur de l'utilisateur infecté, à condition que les pirates réussissent à le convaincre de visiter une page web spéciale dans Internet Explorer.
Le 12 juin dernier, Microsoft a publié un avis de sécurité à propos de cette faille de sécurité, et a fourni aux utilisateurs plusieurs solutions de contournement pour se protéger, y compris une solution de réparation semi-automatique. Mais depuis cette date, le code permettant d'exploiter la vulnérabilité a été ajouté au framework Open Source Metasploit utilisé pour les tests de pénétration, si bien que n'importe qui peut copier ce code et l'utiliser à des fins malveillantes. « Au cours de la semaine, un code très similaire à celui qui permet d'exploiter la faille CVE-2012-1889 et ajouté à Metasploit, a été identifié dans une page web proposant un kit Blackhole », a déclaré avant le week-end Fraser Howard, chercheur pour l'entreprise de sécurité Sophos.
Une menace à fort potentiel
Blackhole est l'une des outils boîtes à outils d'exploits parmi les plus populaires. Elle contient des applications web malveillantes conçues pour exploiter les vulnérabilités des plug-ins des navigateurs et d'autres composants dans le but de diffuser des logiciels malveillants. Ces kits d'attaques sont utilisés dans la majorité des menaces web lancées à partir de sites Internet compromis. C'est même le principal vecteur utilisé pour infecter des ordinateurs avec des malwares.
Avec l'intégration de l'exploit CVE-2012-1889 dans Blackhole, le nombre d'attaques ciblant cette faille risque d'augmenter de manière significative. « Dès que les kits d'exploits ciblent de nouvelles vulnérabilités, il y a de forte de chance de voir le nombre d'infections augmenter, surtout quand il s'agit de failles zéro-day », a déclaré le chercheur de Sophos.
Cependant, l'utilisation de la faille avec Blackhole se limite pour l'instant à un seul incident détecté le 21 Juin. Fraser Howard pense que l'infection reste encore limitée parce que cette attaque n'est pas assez fiable, ou parce qu'elle est livrée avec des versions récentes, plus chères, de la boîte à outils. Mais, quelle que soit la raison, ce temps de répit laissé par les attaquants utilisant la boîte à outils Blackhole ne devrait être que temporaire. Par conséquent, les utilisateurs doivent appliquer sans attendre la solution de réparation proposée par Microsoft et maintenir leurs programmes antivirus à jour afin de bloquer les attaques ciblant la vulnérabilité.
La boîte à outil Blackhole intègre une faille dans Micrososft XML non patchée
Des chercheurs en sécurité de Sophos ont observé une attaque qui tirait profit d'une vulnérabilité identifiée dans Microsoft XML Core Services (MSXML) et non corrigée. Surtout, la méthode d'attaque a été incorporée dans la boîte à outils Blackhole, très utilisée pour mener des attaques sur le Web.