Microsoft a récemment publié MS12-063 pour corriger les vulnérabilités qui affectent toutes les versions d’Internet Explorer, à savoir les versions 6, 7, 8 et 9. L’article suivant est un regard approfondi sur l’exploit zero-day et discute de ses différentes répercussions.
En quoi consiste MS12-063?
MS12-063 est un bulletin de sécurité hors bande qui traite les attaques par le biais de vulnérabilités dans toutes les versions prises en charge d’Internet Explorer (9 et versions antérieures). Microsoft a attribué à MS12-063 une note « critique ».
Ces vulnérabilités dans Internet Explorer (IE) ont été récemment exploitées dans la nature. L’utilisation d’execCommand Après une vulnérabilité gratuite ou CVE-2012-4969 est la plus grave de ces vulnérabilités, ce qui conduit à l’exécution de code malveillant par des attaquants distants.Cette vulnérabilité particulière a également été exploitée dans une attaque ciblée qui entraîne le téléchargement du cheval de Troie d’accès distant PlugX (RAT).
Quelle est la cause profonde de cet exploit ?
Avant la mise à jour de sécurité hors bande, les versions 6 à 9 des navigateurs IE non corrigés étaient vulnérables à l’exploit lors de la visite de sites Web compromis. Cela conduit les attaquants à obtenir les mêmes privilèges que l’utilisateur actuel via les navigateurs IE non corrigés. De plus, les statistiques ont montré que cette vulnérabilité met en danger plus de 30% des utilisateurs d’Internet dans le monde.
Pourquoi s’appelle-t-on la vulnérabilité « use after free » ?
« Utiliser après avoir été libre » fait référence à « référencer la mémoire après sa libération (ce qui) peut provoquer un plantage d’un programme, utiliser des valeurs inattendues ou exécuter du code. »
Comment les attaquants exploitent-ils cette vulnérabilité ?
Les attaquants utilisent plusieurs composants afin d’exploiter avec succès IE. Ceux-ci incluent un fichier HTML malveillant, un malveillant.Fichier SWF, et le déclenchement d’un malveillant.EXE comme charge utile finale.
- Lorsque les utilisateurs se connectent à un site Web compromis, le fichier HTML malveillant ou exploiter.html (HTML_EXPDROP.II) sert de point d’entrée de l’attaque. Il crée plusieurs instances de l’élément d’image (tableau) dans le document ou la page Web actuelle. Tous ces éléments définissent la valeur de src sur la chaîne « a ». Ces valeurs sont stockées dans la mémoire du tas. Un tas fait référence à une zone de mémoire pré-réservée qu’un programme peut utiliser pour stocker des données en quantité variable.
HTML_EXPDROP.II charge ensuite le Moh2010 malveillant.swf(SWF_DROPPR.II, SWF_DROPPR.IJ, SWF_DROPPR.IK ou SWF_DROPPR.IL)
- Une fois Moh2010.charges swf, le.SWF charge ensuite une iframe qui redirige vers protect.html, également détecté comme HTML_EXPDROP.II.
- Protéger.html déclenche alors la vulnérabilité qui suit la séquence d’événements suivante:
- Exécution du document.execCommand(« selectAll ») déclenche l’événement selectAll « onelect=’TestArray()' ». Il crée ensuite l’objet CmshtmlEd dans la mémoire de tas.
- Lorsque la fonction TestArray() se déclenche, elle appelle le document.write (fonction « L » » pour réécrire le.Document HTML. Il réécrit le.Document HTML afin de « libérer » la mémoire de tas de l’objet CmshtmlEd créé. (Il s’agit de la partie « libre » de la vulnérabilité « use-after-free ».)
- La méthode mise en évidence dans la figure 5 ci-dessous (parent.jifud.src= …) est exécuté 100 fois pour essayer d’écraser la mémoire de tas libérée de l’objet CmshtmlEd.
La méthode CMshtmlEd::Exec essaie ensuite d’accéder à la mémoire de tas libérée de l’objet CmshtmlEd. L’appel de la méthode CMshtmlEd::Exec entraîne une erreur d’exception, ce qui conduit ensuite à une exécution de code arbitraire. (Il s’agit de la partie « utilisation » de la vulnérabilité « utilisation après utilisation ».)
- Exécution du document.execCommand(« selectAll ») déclenche l’événement selectAll « onelect=’TestArray()' ». Il crée ensuite l’objet CmshtmlEd dans la mémoire de tas.
- Moh2010.swf contient le code de pulvérisation de tas (shellcode) qui est déjà chargé dans la mémoire. Une fois que l’erreur d’exception use-after-free se produit, il exécute ensuite le shellcode responsable du téléchargement et de l’exécution de la charge utile http://{BLOCKED}.{BLOCKED}.104.149/public/help/111.exe ou BKDR_POISON.BMN.
Cet exploit aura-t-il un impact IE 10?
Non. L’exploit mentionné précédemment n’est pas lié au prochain navigateur IE 10. Mais peu de temps après l’exploit zero-day, Microsoft a publié une mise à jour de sécurité pour les utilisateurs qui ont déjà téléchargé la version pré-publiée d’IE 10. L’avis de sécurité Microsoft 2755801 résout les vulnérabilités d’Adobe Flash Player dans IE 10 sur toutes les éditions prises en charge de Windows 8 et Windows Server 2012.
Y a-t-il eu d’autres attaques qui ont exploité cette vulnérabilité ?
Oui. Cet exploit a également été utilisé dans des attaques ciblées qui ont fait tomber le cheval de Troie d’accès distant PlugX (RAT). Ces attaques visaient des institutions liées au gouvernement et des industries clés.
Quelles sont les autres répercussions des systèmes non corrigés?
Les exploits permettent généralement aux attaquants de supprimer ou de charger des logiciels malveillants qui téléchargent d’autres logiciels malveillants plus menaçants sur des systèmes vulnérables ou non corrigés. Mais même un ordinateur à jour peut être vulnérable aux attaques par des vulnérabilités zero-day. Les exploits Zero-day sont de nature plus dangereuse car ils ciblent des vulnérabilités qui n’ont pas encore été résolues par les fournisseurs de logiciels respectifs. Jusqu’à ce que le fournisseur du logiciel publie une solution de contournement, c’est-à-dire un outil de correction ou la mise à jour du logiciel, les utilisateurs sont laissés sans protection et vulnérables aux menaces.
Comment puis-je me protéger de cette vulnérabilité zero-day ?
En plus d’appliquer les mises à jour de sécurité prescrites, vous pouvez consulter des blogs de sécurité fiables ou des sites de conseils aux fournisseurs de logiciels sur les nouveaux exploits possibles et déterminer les vecteurs d’infection impliqués. Si l’exploit pénètre dans les ordinateurs des utilisateurs via des sites spécifiques ou cible certains navigateurs, il est préférable d’adopter une approche proactive. Passez à un autre navigateur jusqu’à ce que vous soyez sûr que tous les correctifs sont en place. Mais l’utilisation d’autres navigateurs Web en dehors d’IE peut ne pas être une option viable pour certains utilisateurs en raison des limitations imposées par les administrateurs informatiques de différentes institutions.
Dans tous les cas, jusqu’à la publication des correctifs nécessaires, la prévention des exploits du navigateur intégrée à Trend Micro™ Titanium™ 2013 protège également les utilisateurs contre les exploits ciblant cette vulnérabilité.
Les utilisateurs de Trend Micro sont-ils protégés contre cette menace ?
Oui. Le réseau de protection intelligent Trend Micro™ protège les utilisateurs en détectant l’exploit et d’autres fichiers malveillants et en bloquant l’accès aux serveurs malveillants. Reportez-vous à notre page Bulletin de vulnérabilité pour plus d’informations sur la façon dont la sécurité en profondeur protège les clients contre ces exploits. De plus, les utilisateurs peuvent se référer à la page officielle des bulletins de sécurité Microsoft pour les correctifs et des informations détaillées sur les vulnérabilités.