L'attaque utilise une vulnérabilité non corrigée (Zero Day) dans Internet Explorer 9 et contourne toutes les mesures de sécurité supplémentaires de Windows 7. La dernière version du système d'exploitation de Microsoft, entièrement mis à jour avec le Service Pack 1 (SP1), est donc de nouveau vulnérable. La faille de sécurité a été rapportée par la société française de sécurité Vupen, qui avait déjà découvert une faille dans IE8 en décembre de l'année dernière.

La société classe cette attaque sur IE9 comme fiable, ce qui signifie que c'est un moyen efficace pour les pirates d'exécuter des codes malveillants de leur choix sur les PC fonctionnant sous Windows 7. Cette vulnérabilité permet aux cybers attaquant de passer à travers les couches de sécurité supplémentaires pour Windows, telles que ASLR, la DEP et la sandbox (mode protégé) dans IE9.

« L'attaque utilise deux failles distinctes. La première permet l'exécution de code arbitraire dans le bac à sable IE9. Le second permet le contournement de la sandbox pour réaliser l'exécution de code complet » précise le PDG de Vupen, Chaouki Bekra. Le risque de cette attaque à ce jour est limité: le code d'exploitation n'a pas été repéré dans la nature. Les vulnérabilités ont été découvertes par des chercheurs de Vupen. Chaouki Bekra a souligné que les vulnérabilités n'ont pas été divulguées au public. « L'accès à notre code et à l'analyse en profondeur de la vulnérabilité est réservé à nos clients gouvernementaux qui utilisent ces information pour protéger leurs infrastructures critiques » souligne le dirigeant.

Fonctionne avec des anciennes versions d'IE

Certes IE9 n'est pas encore beaucoup utilisé par les gouvernements ou les entreprises. Cependant, la vulnérabilité ne se limite pas à la dernière version du navigateur de Microsoft. La faille de sécurité est également présente les anciennes versions d'IE, pour lequel Vupen n'a pas réalisé de travaux d'exploitation. « La faille affecte Internet Explorer 9, 8, 7 et 6, et résulte d'une erreur use-after-free dans la bibliothèque « mshtml.dll » qui déclenche une combinaison spécifique de code HTML et JavaScript. » La société de sécurité conseille à tous les utilisateurs d'Internet Explorer de désactiver JavaScript ou utiliser un autre navigateur web qui n'est pas affecté par cette vulnérabilité.

Le code d'exploitation trouvé par Vupen n'est efficace que sur IE9, qui peut fonctionner sur Windows 7 et son prédécesseur de Vista. IE9 a récemment été publié, mais n'est pas encore distribué via Windows Update. Microsoft va commencer ce déploiement dans les prochaines semaines. La date précise pour l'ensemble de la distribution et l'installation de la dernière version du navigateur Windows n'a pas été divulguée.