Microsoft a confirmé samedi que les versions 6, 7 et 8 d'Internet Explorer (IE) contenaient un bug non corrigé - une vulnérabilité de type « zero-day » -  mis à profit par des pirates pour détourner des ordinateurs sous Windows. Selon l'éditeur, les ingénieurs de Microsoft «travaillent sans relâche » pour mettre au point un correctif. Ceux-ci ont déjà proposé une solution de contournement qui permet aux clients de se protéger en attendant la mise à jour. Dans un bulletin de sécurité publié le 29 décembre, Microsoft a reconnu que des attaques utilisant la faille avaient bien eu lieu. « Microsoft a connaissance d'attaques ciblées qui tentent d'exploiter la vulnérabilité via Internet Explorer 8 », indique le communiqué. « Les nouvelles versions d'Internet Explorer - IE9 livrée en 2011 et IE10 livrée cette année - ne sont pas affectées », a précisé Microsoft. L'éditeur a vivement invité les utilisateurs qui le peuvent à procéder à une mise à jour de son navigateur Internet. Selon plusieurs entreprises de sécurité, la vulnérabilité a été utilisée par des pirates pour exploiter des PC sous Windows dont les propriétaires ont visité le site Internet du Conseil des relations internationales (Council on Foreign Relations - CFR), un think tank américain non partisan qui analyse la politique étrangère américaine et la situation politique mondiale. Le CFR possède des bureaux à New York et à Washington.

Un site infecté depuis le 21 décembre

Vendredi, FireEye a confirmé de précédentes informations selon lesquelles le site du CFR avait été compromis par des attaquants et qu'il hébergeait le code d'exploitation depuis le 21 décembre. « Le mercredi 26 décembre à la mi-journée, le site du CFR menait encore des attaques 'drive-by' contre les visiteurs se connectant avec IE8 », a déclaré vendredi dans un blog Darien Kindlund, chercheur principal chez FireEye. Selon le chercheur, le malware caché sur le site du CFR utilisait Adobe Flash Player « pour générer une attaque par balayage de la zone mémoire ou Heap Spray Attack » contre IE8. Celui-ci n'a pas dit si le lecteur Flash contenait également un bug zero-day, ou si les pirates ont utilisé une vulnérabilité connue et déjà corrigée qui n'aurait pas été réparée sur les ordinateurs des victimes.

Samedi, Jaime Blasco, le directeur d'AlienVault Labs, a également donné son avis sur le bug zero-day d'IE, notant que l'exploit avait été en mesure de contourner les technologies anti-exploit DEP (Data Execution Prevention) et ASLR (Address Space Layout Randomization) de Microsoft et avait réussi à compromettre des PC sous Windows XP et Windows 7 exécutant IE8. Selon lui, le bug d'IE est probablement une vulnérabilité de type « use-after-free » liée à un défaut de gestion de la mémoire. « AlienVault a commencé à identifier des attaques de type « watering hole » sur le site du CFR au début de la semaine, et a alerté le Microsoft Security Response Center (MSRC) en précisant que nous soupçonnions l'exploitation d'une vulnérabilité zero-day dans IE », a déclaré Jaime Biasco.

Une attaque d'origine chinoise ? 

Dans une attaque « watering hole », les pirates identifient leurs cibles, même au niveau individuel, puis pistent les sites qu'ils visitent le plus souvent. Ensuite, ils infectent un ou plusieurs de ces sites en y introduisant leurs logiciels malveillants, et, comme un lion qui attend ses proies à proximité d'une mare, les malwares guettent les visiteurs peu méfiants. Pour l'instant, le CFR n'a pas répondu à une demande de commentaires sur la situation actuelle de son site. D'autres chercheurs ont affirmé que les attaques exploitant la vulnérabilité d'IE ont commencé dès le 7 décembre, laissant entendre également que des pirates chinois étaient responsables du piratage du site web du Council on Foreign Relations.

Samedi, dans un mail adressé à nos confrères de Computerworld, puis dans un blog, Microsoft a déclaré que ses ingénieurs mettaient au point un correctif pour IE6, IE7 et IE8, sans préciser à quelle date ils livreraient cette mise à jour. Jonathan Ness et Cristian Craioveanu, ingénieurs de l'équipe de sécurité de Microsoft, ont donné aussi quelques détails sur la faille d'IE dans un message posté sur le blog du Security Research & Defense. « Nous travaillons d'arrache-pied à une mise à jour de sécurité », ont écrit les ingénieurs. Ceux-ci ont également annoncé la disponibilité d'une solution de contournement qui permet de protéger les utilisateurs des versions les plus récentes d'IE6, IE7 et IE8 en attendant la mise à jour.