« Microsoft enquête sur une nouvelle menace rendue publique d'une éventuelle vulnérabilité dans Internet Explorer,» a déclaré Dave Forstrom, directeur du groupe Trustworthy Computing Group de l'éditeur dans un communiqué. « Actuellement, aucun élément ne nous permet de penser que des attaques en cours tentent d'utiliser cette vulnérabilité ni qu'elle peut avoir une conséquence sur les produits Microsoft utilisés par nos clients. »

La faille, mise à jour pour la première fois début décembre par l'entreprise de sécurité informatique française Vupen, a été découverte dans le moteur HTML de IE. Elle pourrait être exploitée pendant l'exécution, par le navigateur, d'un fichier CSS (Cascading Style Sheets) comprenant des commandes « @import.» Celles-ci permettent aux concepteurs de sites web d'importer des feuilles de style externes dans un document HTML existant. Le 9 décembre, Vupen avait émis un avis, confirmant la vulnérabilité dans IE8 sous Windows XP, Vista et 7, et dans IE version 6 et 7 sous XP. Les pirates pourraient activer le bug depuis une page web falsifiée, puis détourner le PC pour y déposer des logiciels malveillants ou y voler des informations confidentielles. Vupen, qui a mis au point et exécuté son exploit, a utilisé le code d'attaque uniquement pour réaliser des tests de pénétration auprès de ses propres clients. Mais mardi d'autres chercheurs ont rendu le bug IE public. Abysssec Security Research a ainsi publié une courte vidéo de démonstration détaillant l'attaque, et le chercheur en sécurité Joshua Drake a ajouté un exploit fonctionnel au kit de tests de pénétration du projet Metasploit. Il crédite aussi un blog de sécurité chinois pour avoir révélé la vulnérabilité le mois dernier.

Contourner les barrières existantes

Contrairement à d'autres bugs récents affectant Internet Explorer, celui-ci peut être exploité sur la dernière version 8 du navigateur tournant sur l'OS le plus récent de Microsoft, Windows 7. Surtout il parvient à détourner les dernières barrières de défenses anti-exploit DEP (Data Execution Prevention) et ASLR (randomisation des zones d'adressage). Selon HD Moore, chef de la sécurité chez Rapid7 et créateur de Metasploit, le code de Joshua Drake fonctionne de manière fiable avec IE8 sous Windows 7, mais est légèrement moins fiable sur le navigateur sous Windows XP.« La façon dont le programme contourne DEP et ASLR est remarquable » a ajouté HD Moore. En effet, celui-ci s'appuie sur une faille dans Windows qui permet aux pirates de forcer le système d'exploitation à charger des bibliothèques de liens dynamiques (DLL) en .Net obsolètes qui n'ont pas d'ASLR. « C'est le .Net qui est utilisé par le programme pour contourner l'ASLR et le DEP, » a précisé HD Moore. « C'est une technique solide qui s'appliquera à des exploits à venir, sauf si Microsoft bloque le chargement des  anciennes bibliothèques .Net. »

La stratégie d'attaque .Net a été présentée en août dernier par deux chercheurs de McAfee, Xiao Chen et Jun Xie, lors de la conférence sur la sécurité XCON qui s'est tenue Beijing. HD Moore crédite Xiao Chen pour la découverte de la technique .Net. Même si Microsoft a beaucoup travaillé les défenses ASLR et DEP, l'éditeur a reconnu que les chercheurs avaient trouvé des moyens de les contourner en exploitant des faiblesses de l'ASLR. Dave Forstrom de Microsoft n'a pas donné de date de sortie pour le patch qui corrigera cette vulnérabilité. Il indique simplement que Microsoft prendra « les mesures appropriées » une fois qu'elle aura bouclé son enquête. Le prochain Patch Tuesday régulier est prévu pour le 11 janvier 2011. Mais étant donné que la firme de Redmond sort traditionnellement une mise à jour de son navigateur tous les deux mois, et que la dernière mise à jour est intervenue la semaine dernière, il n'est pas impossible qu'il faudra patienter jusqu'au mois de février pour disposer du patch corrigeant cette faille.