Peter Vreugdenhil, chercheur chez Exodus Intelligence, a démontré le contournement du patch temporaire proposé par Microsoft pour corriger la faille zero day découverte dans certaines versions d'IE. Cet exploit a été rendu public pour faire pression sur la firme de Redmond de publier rapidement un correctif permanent. A l'occasion de son Patch Tuesday, Microsoft n'a pas intégré de bulletin spécifique sur la vulnérabilité d'IE.

Le chercheur a réalisé sa prouesse sur un système sous Windows XP et IE8 mis à jour, a expliqué Brandon Edwards, vice-président d'Exodus Intelligence. Microsoft a publié son correctif temporaire la semaine dernière. Des pirates avaient utilisé la faille depuis le 7 décembre dernier avec la mise en place de malware au sein des serveurs qui gèrent les sites web du Council on Foreign Relations, un club de réflexion sur les affaires diplomatiques et de l'industriel Capstone Turbine. Peter Vreugdenhil n'a pas mis longtemps à contourner la solution provisoire de Microsoft : 6 heures. « Il s'agit d'un délai rapide pour trouver un faille dans un correctif », souligne Brandon Edwards.

Le patch émis par la firme de Redmond est destiné à bloquer une des voies utilisées par la vulnérabilité. Toutefois, il ne protège pas contre l'ensemble des chemins trouvés par les pirates. « Nous avons donc identifié un autre chemin pour atteindre la faille et l'exploiter», détaille Brandon Edwards. Un patch permanent permettrait une réécriture complète du code et le blocage de la faille.

Les spécialistes de la sécurité préconisent EMET

Microsoft a confirmé qu'Exodus Intelligence l'avait contacté sur cette affaire. « Nous sommes conscients de cette revendication et nous leur avons demandé plus d'informations », précise Dustin Childs, responsable de Microsoft Trustworthy Computing. Les experts en sécurité saluent le travail réalisé par Exodus Intelligence, mais pense que la firme de Redmond devrait améliorer son outil Enhanced Mitigation Experience Toolkit (EMET). Ce dernier doit prévenir et empêcher des criminels d'exploiter des vulnérabilités. EMET est un utilitaire proposé gratuitement par Microsoft et fonctionne comme un mur pour atténuer les attaques.

Chester Wisniewski, conseiller principal en sécurité chez Sophos, estime que « les entreprises qui souhaitent rester en sécurité jusqu'à l'arrivée du patch officiel, doivent utiliser EMET, car il est de loin supérieur au correctif temporaire ». Symantec a indiqué la semaine dernière avoir des preuves d'une connexion entre la vulnérabilité sur IE et un groupe de pirates nommé le gang d'Elderwood. Une analyse du code des attaques a révélé des similitudes avec d'autres codes utilisés par ce groupe. Ce dernier a utilisé pas moins de 9 failles zero day dans des malwares via des mails ciblés (spear phishing) depuis 2009.