Tard dans la soirée de samedi, Microsoft a publié un avis confirmant la présence d'une vulnérabilité dans Internet Explorer, et l'exploitation de la faille dans des attaques ciblées. Des chercheurs de FireEye, à l'origine de sa découverte, ont repéré des attaques ciblant les versions 9 à 11 d'Internet Explorer. Mais, selon les chercheurs, même si les criminels semblent se concentrer sur les dernières éditions du navigateur de Microsoft, toutes les versions d'IE sont affectées. Les exploits qui tirent parti de la vulnérabilité dite « Use-after-Free » contournent les protections ASLR et DEP et accèdent à des privilèges qui permettent l'exécution de code.
Dans un billet de blog, les chercheurs expliquent que « les auteurs de la menace utilisent activement l'exploit dans une campagne nommée Operation Clandestine Fox ». FireEye ne veut donner aucun autre détail sur cette campagne, mais selon les chercheurs, la faille est de type « zero-day » et elle est activement exploitée, les versions exposées représentant environ un quart du marché total du navigateur. « Nous recommandons d'appliquer le correctif dès qu'il sera disponible », conseille FireEye. Par ailleurs, les chercheurs ont déclaré que le groupe responsable de cet exploit avait déjà manipulé « un certain nombre d'exploits « zero-day » par le passé » et qu'il savait camoufler ses traces. « Il est difficile à suivre, car il réutilise rarement la même infrastructure de commande et de contrôle ».
L'outil EMET permettrait d'atténuer les attaques
En attendant la sortie d'un correctif, Microsoft a fait savoir que l'outil de sécurité Enhanced Mitigation Experience Toolkit ou EMET permettrait d'atténuer les attaques contre cette vulnérabilité. Selon l'éditeur, les versions d'Internet Explorer qui tournent avec la Configuration de sécurité améliorée par défaut (Enhanced Security Configuration) ne sont pas exposées, à condition que le site web malveillant utilisé pour cibler la vulnérabilité ne soit pas répertorié dans la liste des sites de confiance. C'est typiquement ce qui se passe avec Internet Explorer sous Windows Server 2003, Windows Server 2008 (et 2008 R2), et Windows Server 2012 (et 2012 R2).
On ne sait pas si Microsoft a l'intention de sortir un correctif hors-calendrier pour corriger cette vulnérabilité. L'éditeur a seulement indiqué qu'il prendrait les « mesures appropriées » dès que son évaluation serait terminée.