Dans un bulletin de sécurité publié le 29 décembre, Microsoft a reconnu que des attaques utilisant la faille avaient bien eu lieu. « Microsoft a connaissance d'attaques ciblées qui tentent d'exploiter la vulnérabilité via Internet Explorer 8 », indique le communiqué. « Les nouvelles versions d'Internet Explorer - IE9 livrée en 2011 et IE10 livrée cette année - ne sont pas affectées », a précisé Microsoft. L'éditeur a vivement invité les utilisateurs qui le peuvent à procéder à une mise à jour de son navigateur Internet. Selon plusieurs entreprises de sécurité, la vulnérabilité a été utilisée par des pirates pour exploiter des PC sous Windows dont les propriétaires ont visité le site Internet du Conseil des relations internationales (Council on Foreign Relations - CFR), un think tank américain non partisan qui analyse la politique étrangère américaine et la situation politique mondiale. Le CFR possède des bureaux à New York et à Washington.
Un site infecté depuis le 21 décembre
Vendredi, FireEye a confirmé de précédentes informations selon lesquelles le site du CFR avait été compromis par des attaquants et qu'il hébergeait le code d'exploitation depuis le 21 décembre. « Le mercredi 26 décembre à la mi-journée, le site du CFR menait encore des attaques 'drive-by' contre les visiteurs se connectant avec IE8 », a déclaré vendredi dans un blog Darien Kindlund, chercheur principal chez FireEye. Selon le chercheur, le malware caché sur le site du CFR utilisait Adobe Flash Player « pour générer une attaque par balayage de la zone mémoire ou Heap Spray Attack » contre IE8. Celui-ci n'a pas dit si le lecteur Flash contenait également un bug zero-day, ou si les pirates ont utilisé une vulnérabilité connue et déjà corrigée qui n'aurait pas été réparée sur les ordinateurs des victimes.
Samedi, Jaime Blasco, le directeur d'AlienVault Labs, a également donné son avis sur le bug zero-day d'IE, notant que l'exploit avait été en mesure de contourner les technologies anti-exploit DEP (Data Execution Prevention) et ASLR (Address Space Layout Randomization) de Microsoft et avait réussi à compromettre des PC sous Windows XP et Windows 7 exécutant IE8. Selon lui, le bug d'IE est probablement une vulnérabilité de type « use-after-free » liée à un défaut de gestion de la mémoire. « AlienVault a commencé à identifier des attaques de type « watering hole » sur le site du CFR au début de la semaine, et a alerté le Microsoft Security Response Center (MSRC) en précisant que nous soupçonnions l'exploitation d'une vulnérabilité zero-day dans IE », a déclaré Jaime Biasco.
Une attaque d'origine chinoise ?
Dans une attaque « watering hole », les pirates identifient leurs cibles, même au niveau individuel, puis pistent les sites qu'ils visitent le plus souvent. Ensuite, ils infectent un ou plusieurs de ces sites en y introduisant leurs logiciels malveillants, et, comme un lion qui attend ses proies à proximité d'une mare, les malwares guettent les visiteurs peu méfiants. Pour l'instant, le CFR n'a pas répondu à une demande de commentaires sur la situation actuelle de son site. D'autres chercheurs ont affirmé que les attaques exploitant la vulnérabilité d'IE ont commencé dès le 7 décembre, laissant entendre également que des pirates chinois étaient responsables du piratage du site web du Council on Foreign Relations.
Samedi, dans un mail adressé à nos confrères de Computerworld, puis dans un blog, Microsoft a déclaré que ses ingénieurs mettaient au point un correctif pour IE6, IE7 et IE8, sans préciser à quelle date ils livreraient cette mise à jour. Jonathan Ness et Cristian Craioveanu, ingénieurs de l'équipe de sécurité de Microsoft, ont donné aussi quelques détails sur la faille d'IE dans un message posté sur le blog du Security Research & Defense. « Nous travaillons d'arrache-pied à une mise à jour de sécurité », ont écrit les ingénieurs. Ceux-ci ont également annoncé la disponibilité d'une solution de contournement qui permet de protéger les utilisateurs des versions les plus récentes d'IE6, IE7 et IE8 en attendant la mise à jour.
[[page]]
Ce n'est pas la première fois que Microsoft propose des solutions de contournement pour permettre aux utilisateurs de se protéger contre des attaques actives contre IE. Cette solution est utilisée ensuite comme base pour le « Fixit », l'application qui sert à appliquer la solution de contournement en un clic et à automatiser le processus. L'éditeur y a souvent recours, y compris pour mettre en oeuvre des mesures d'atténuation que la plupart des utilisateurs auraient du mal à effectuer par eux-mêmes. Pour appliquer une solution de contournement disponible, les utilisateurs doivent par exemple télécharger des fichiers du site Security Research & Defense, puis entrer une ou plusieurs chaînes de commande dans le terminal Windows.
C'est la deuxième fois cette année que Microsoft doit livrer un correctif d'urgence pendant les derniers jours de décembre. En 2011, l'éditeur avait émis un avis de sécurité le 28 décembre pour alerter contre une faille découverte dans le langage de programmation ASP.Net que les pirates auraient pu utiliser pour paralyser les serveurs de certains sites web. Et le 29 décembre 2011, Microsoft livrait sa mise à jour d'urgence hors calendrier.
L'éditeur a rappelé que les utilisateurs d'IE9 et d'IE10 n'étaient pas concernés par la vulnérabilité, et que ces versions du navigateur étaient fiables. Cependant, les utilisateurs de Windows XP ne peuvent pas utiliser ces navigateurs, puisque Microsoft a limité IE9 à Vista et Windows 7, et IE10 à Windows 7 et Windows 8.