Selon Symantec, trois jours seulement après que Microsoft ait corrigé 11 bugs dans Internet Explorer (IE), les pirates ont recommencé à exploiter une des vulnérabilités du navigateur tout juste patché. Mardi dernier, Microsoft avait en effet publié onze correctifs pour son navigateur dans le cadre du Patch Tuesday pour réparer 34 vulnérabilités, dont 16 ont fait l'objet de bulletins de sécurité distincts. De leur côté, la plupart des experts en sécurité avaient classé la mise à jour d'IE au sommet des priorités, invitant vivement les utilisateurs de Windows à appliquer ces correctifs dès que possible.

Mais vendredi dernier, Symantec faisait savoir que la vulnérabilité CVE 2011-1255 (l'identification attribuée par la base de données Common Vulnerabilities and Exposures) était à nouveau exploitée. « Jusqu'à présent, nous avons comptabilisé un nombre limité d'attaques mettant à profit cette vulnérabilité, ce qui nous fait penser que la faille n'est pour l'instant utilisée que dans des attaques ciblées », a déclaré, sur un blog interne à l'éditeur, Joji Hamada, un chercheur senior de l'équipe chargé de la surveillance informatique. Selon lui, Symantec a repéré l'exploitation de la faille sur un site apparemment infecté qui télécharge automatiquement un fichier crypté malveillant sur le PC d'un utilisateur naviguant avec une version d'Internet Explorer 8 non mise à jour. 

Les caractéristiques d'un bot

« Le malware a les caractéristiques d'un bot », a précisé le chercheur. Une fois introduit sur la machine, il se connecte à un serveur distant et obéit aux commandes d'un ordinateur maître contrôlé par des hackers. Bien que la vulnérabilité CVE 2011-1255 affecte aussi bien IE6, IE7 et IE8, Symantec dit que les malveillances observées dernièrement ciblaient uniquement IE8. De plus, IE9, la dernière version du navigateur de Microsoft disponible depuis la mi-mars, n'est pas affectée par cette vulnérabilité, même si elle a subi une mise à jour mardi corrigeant quatre autres bugs.

Dans l'avis accompagnant la mise à jour d'IE, Microsoft avait qualifié la faille de « critique », ce qui correspond au niveau de menace le plus sérieux, pour IE7 et IE8 sur toutes les machines tournant sous Windows, et pour IE6 tournant sous Windows XP. Quant à la version d'IE6 tournant sous Windows Server 2003, Microsoft avait qualifié le bug de « modéré ». L'éditeur de Redmond avait également attribué un indice « 1 » pour l'exploitabilité de la vulnérabilité, signifiant qu'il s'attendait à ce qu'elle soit exploitée sous 30 jours. Mais les pirates ont largement devancé ce délai, puisqu'ils ont été capables d'exploiter la faille sous 3 jours. C'est fin janvier que Microsoft a été informé par le laboratoire iDefense Labs de VeriSign de la vulnérabilité, achetée à un chercheur anonyme via son programme de primes. iDefense avait classé la vulnérabilité dans la catégorie « use-after-free », un type de bug qui utilise un défaut de gestion de la mémoire pour injecter du code d'attaque.

Les utilisateurs n'étant pas en mesure d'appliquer la mise à jour d'IE publiée mardi dernier peuvent faire barrage aux dernières attaques repérés par Symantec en désactivant JavaScript selon la méthode suivante : dans le menu « Outils » d'IE, cliquer sur «Options Internet», puis sélectionner l'onglet « Sécurité » et entrer dans l'espace « Internet ».  Cliquer sur « Personnaliser le niveau » et dans « Paramètres », cliquez sur « Désactiver » sous « Active Scripting ». Enfin, cliquer « OK » dans la boîte de dialogue.