Les vulnérabilités IE largement plus exploitées que le montraient les estimations
Les vulnérabilités IE largement plus exploitées que le montraient les estimations,
de nombreuses entreprises victimes d'attaques par ce vecteur
Le mardi 17 septembre, une nouvelle vulnérabilité zero-day affectant toutes les versions d’Internet Explorer a été publiée par Microsoft. Identifiée par le nom de code CVE-2013-3893, cette vulnérabilité peut corrompre la mémoire de manière à permettre aux attaquants d’exécuter des codes arbitraires.
Microsoft a fourni au public une solution à télécharger et installer manuellement afin d'atténuer la vulnérabilité.
Pourtant, samedi dernier des chercheurs de la firme FireEye ont fait part des attaques d'un groupe réputé de hacker japonais qui ont utilisé la vulnérabilité pour cibler des industriels, des administrations et des médias japonais. Les trois sites d'information du pays ont été affectés et les pirates espéraient compromettre les ordinateurs des lecteurs. Ces sites ont enregistré plus de 75 000 pages vues avant que l'attaque ne soit découverte. Cette série d'attaques fait partie d'une vaste campagne amorcée le 19 août baptisée « Operation DeputyDog ». Des preuves apportées par les chercheurs des groupes Websense et AlienVault suggèrent que la même vulnérabilité est utilisée pour attaquer des entreprises basées à Taiwan.
Le 25 septembre, Websense a détecté une attaque contre l'un de ses clients (une importante institution financière japonaise) qui utilisait un exploit exploitant CVE-2013-3893. Après enquête sur l'incident, ils ont constaté que le code de l'exploit était hébergé sur un serveur basé à Taiwan et que le malware installé par l'exploit a tenté d'appeler un nom de domaine de commande et contrôle enregistré en mars.
Les chercheurs en sécurité de AlienVault croient également que la nouvelle vulnérabilité IE a été utilisée pour attaquer des organisations à Taiwan, parce qu'ils ont trouvé une variante de l'exploit hébergée sur un sous-domaine du système d'e-procurement en ligne du gouvernement taïwanais. Jaime Blasco, chercheur pour le compte de l'entreprise, affirme que les utilisateurs qui se rendent sur la page d'accueil pour la première fois seront automatiquement redirigés vers la page de l'exploit.
Selon FireEye, ces pirates pourraient être liés à une organisation de pirates chinois qui a compromis la plateforme de sécurité Bit9 plus tôt cette année. La société explique que la connexion entre les deux groupes réside dans l'infrastructure utilisée pour « contrôle et commande ». Elle a retrouvé au sein de cette infrastructure les mêmes malwares, adresses IP et email pour enregistrer les noms de domaines.
En février dernier, Bit9 avait révélé le vol de ses certificats de signature de code, permettant ainsi le contournement de la plateforme de sécurité de l'éditeur et l'exécution des programmes malveillants sur les systèmes des clients. Les certificats sont utilisés pour identifier les applications de confiance dans une liste blanche approuvée par le client.
Websense a identifié IE8 et IE9 comme étant les principales cibles. D'ailleurs l'entreprise soutient que près de 70 % des ordinateurs tournant sur Windows sont vulnérables.
Sources : blog AlienVault, blog Websense
Et vous ?
Qu'en pensez-vous ?
Répondre avec citation
Partager