Selon plusieurs entreprises de sécurité, une faille de type zero day dans IE 8 a été utilisée de manière active dans des attaques dites de « watering hole » (trou d'eau), contre le Ministère américain du Travail et le Ministère américain de l'Énergie. Pour ce dernier, l'offensive a ciblé des personnes impliquées dans la recherche sur les armes nucléaires. Vendredi, Microsoft a publié un bulletin de sécurité reconnaissant cette faille. Dans son avis, l'éditeur précise que d'autres versions d'Internet Explorer, en particulier les dernières versions IE9 et IE10, ne sont pas affectées par cette faille, et qu'il prépare une mise à jour pour corriger le problème, sans dire à quel moment il compte livrer son patch. Selon le calendrier actuel, la prochaine mise à jour de sécurité prévue par Microsoft est programmée lors du Patch Tuesday, le14 mai.

Un diagnostic commun

Mercredi, l'entreprise de sécurité Invincea basée à Fairfax, Virginie, et d'autres, ont commencé par dire que les attaques « watering hole » menées par des cybercriminels exploitaient une vulnérabilité dans IE8 que Microsoft avait déjà corrigée en janvier dernier. Mais vendredi, Invincea a rectifié son analyse, déclarant que la vulnérabilité utilisée n'était finalement pas connue de Microsoft. « Il semble que l'exploit visant le site du Ministère du Travail exploite une faille zero-day n'affectant qu'Internet Explorer 8 (IE8). « L'attaque s'appuie sur une vulnérabilité use-after-free memory, - elle permet à un pirate d'utiliser des données après la libération de l'espace mémoire - pour exécuter du code malveillant à distance », a déclaré dans un blog Eddie Mitchell, ingénieur en sécurité chez Invincea. L'entreprise de sécurité de Fairfax a revu son analyse après avoir reproduit l'attaque d'un PC sous Windows XP exécutant une copie entièrement corrigée d'IE8 par le patch livré par Microsoft il y a près de trois mois. La faille incriminée était identifiée CVE-2012-4792  dans la base de données Common Vulnerabilities and Exposure.

Dans le même temps, FireEye a livré le même diagnostic, affirmant qu'après vérification, IE8 sous Windows 7 était vulnérable. Parmi les cinq navigateurs de Microsoft - de IE6 à IE10 -, IE8 est l'un des navigateurs les plus utilisés. Il détenait 41 % de part de marché de tous les navigateurs de Microsoft dénombrés en ligne au mois d'avril. L'éditeur a confirmé que toutes les versions d'IE8, sous XP, Vista et Windows 7, présentaient un risque. Quand la nouvelle de ces attaques « watering hole » a été connue - le nom évoque le fait que le code d'attaque est placé sur les sites fréquentés par les utilisateurs visés - Invincea et d'autres entreprises de sécurité ont déclaré que celles-ci avaient été conçues pour infecter des ordinateurs gouvernementaux avec l'outil d'administration à distance Poison Ivy, ou un RAT. Poison Ivy est un morceau de malware bien connu, souvent utilisé par les voleurs d'informations pour siphonner des documents confidentiels et autres fichiers sur les réseaux d'entreprise et ceux des administrations.

Des hackers chinois soupçonnés, des recherches nucléaires visées

Les entreprises de sécurité soupçonnent des hackers chinois. Selon elles, ces attaques ressemblent aux attaques menées en 2012 contre le Council on Foreign Relations (CFR) et des dissidents chinois. Elles cherchaient à infecter les internautes visitant le site du CFR à la fin de l'année dernière. Microsoft avait été obligée de livrer une mise à jour d'urgence le 14 janvier pour son navigateur. L'entreprise de sécurité Invincea est celle qui a donné le plus de détails sur l'attaque, faisant remarquer que le site web infecté du Ministère du Travail contenait la liste des « maladies liées à l'activité nucléaire dans les installations concernées et les niveaux de toxicité de chaque lieu susceptible d'employer des personnes travaillant au développement d'armes atomiques ». Elle conclut que les objectifs réels étaient de viser les employés du ministère de l'Énergie ou les fonctionnaires ayant travaillé dans les programmes d'armement nucléaire de l'agence.

« La vulnérabilité zero-day identifiée dans IE8 concerne tous ceux qui utilisent le navigateur et pas uniquement les employés du gouvernement qui ont été ciblés » », a déclaré Eddie Mitchell d'Invincea, « Avec cet exploit dans la nature, le risque potentiel de dommages est élevé », a-t-il écrit dans le blog, recommandant aux utilisateurs de changer de navigateur, et d'utiliser Google Chrome ou Mozilla Firefox, jusqu'à ce que Microsoft livre son correctif. La faille pourrait être exploitée par d'autres pirates pour mener des attaques de type « drive-by » (contournement), qui sont déclenchées dès qu'un navigateur non corrigé visite un site web compromis, et peuvent infecter un grand nombre d'ordinateurs.

En attendant les correctifs

Pour l'instant, Microsoft invite les utilisateurs de Vista et de Windows 7 à passer d'IE8 à IE9 et IE10. Ceux qui tournent sous Windows XP et sont apparemment la cible des attaques « watering hole » n'ont pas cette possibilité, car ni IE9, ni IE10 ne tournent sous le système d'exploitation vieux de 12 ans. Cependant, les dernières versions de Chrome et de Firefox, peuvent fonctionner sous Windows XP. Les utilisateurs peuvent également déployer le Enhanced Mitigation Experience Toolkit (EMET) pour verrouiller IE8, et rendre l'exploitation de la faille plus difficile. EMET 3.0 ou la version bêta de EMET 4.0 peuvent être téléchargées sur le site de Microsoft.