[ad_1]

Les pirates ont publié un code d’exploitation qui peut être utilisé pour compromettre les PC Windows via une faille de sécurité jusque-là inconnue présente dans toutes les versions Internet Explorer, Microsoft averti aujourd’hui.

Dave Forströmdirecteur de l’informatique de confiance chez Microsoft, a déclaré que bien que le géant du logiciel n’ait connaissance d’aucune attaque utilisant cette faille contre les utilisateurs de Windows, « étant donné la divulgation publique de cette vulnérabilité, la probabilité que des criminels utilisent ces informations pour attaquer activement nos clients peut augmenter. ”

Microsoft conseil en sécurité dit que le problème a à voir avec la façon dont IE gère les feuilles de style CSS. UNE affectation sur le blog Security Research & Defense de Microsoft note que Projet Metasploit récemment publié un exploit pour cette faille qui élude deux des principales défenses de sécurité construit dans Windows Vista et Windows 7 — Randomisation de la disposition de l’espace d’adressage (ASLR) et prévention de l’exécution des données (DEP).

Sophos’ Paul Ducklin vient de publier une note sur la situation, y compris un cours intensif sur ASLR et DEP, et pourquoi IE est vulnérable même sur les versions les plus récentes :

« DEP est conçu pour vous empêcher d’envoyer des paquets de données contenant du code et de supposer que vous pouvez exécuter ce code si vous parvenez à faire planter l’application qui le traite. Les zones de mémoire dans lesquelles l’application stocke ses données d’exécution – y compris la pile et le tas – sont marquées comme non exécutables. Ainsi, même si vous les bourrez de logiciels malveillants et que vous incitez l’ordinateur à accéder au code incriminé, le système d’exploitation l’empêchera de s’exécuter.

« Si, à cause du DEP, vous ne pouvez pas simplement fournir et exécuter votre propre code, alors votre exploit doit utiliser du code qui est déjà chargé en mémoire et marqué comme exécutable. Cela signifie que vous devez prédire exactement où cela se trouvera dans la mémoire.

« Et ASLR est spécifiquement destiné à vous empêcher de le faire. En chargeant des programmes et des DLL dans un emplacement différent et aléatoire à chaque fois, vous ne pouvez pas prédire où vous trouverez des éléments utiles en mémoire. Cela signifie que vous devez d’abord le localiser – mais vous ne pouvez pas le faire non plus, car le code dont vous avez besoin pour effectuer la recherche est bloqué par DEP.

« Malheureusement, Microsoft permet à chaque DLL de décider si elle prend en charge l’ASLR ou non. Et IE est implémenté comme un ensemble complet de DLL – dont certaines sont chargées au moment de l’exécution selon les besoins pour restituer le contenu téléchargé par IE. Ainsi, en envoyant des fichiers autrement innocents à IE, vous pouvez le tromper en chargeant des DLL connues. Si l’une de ces DLL ne prend pas en charge l’ASLR, elle est alors chargée à un emplacement connu de la mémoire.

Microsoft dit qu’il réfléchit à une mise à jour de sécurité pour corriger la faille, mais qu’entre-temps, les utilisateurs de Windows Vista et Windows 7 peuvent bloquer la plupart des attaques de ce type en utilisant une offre gratuite de Microsoft appelée le Boîte à outils d’expérience d’atténuation amélioréeou EMET.

J’en aurai plus sur EMET dans un prochain article, mais il s’agit d’un outil très pratique qui peut aider les utilisateurs de Windows à renforcer la sécurité des applications couramment utilisées, qu’elles soient créées par un fournisseur tiers ou par Microsoft. Si vous installez EMET, vous pouvez forcer des applications individuelles à exécuter ASLR sur chaque DLL qu’elles chargent, que la DLL le veuille ou non.

Un conseil à propos d’EMET : allez-y doucement. La modification des paramètres par défaut du système à tous les niveaux – comme la modification des paramètres ASLR et DEP à l’aide de l’onglet « Configurer le système » – peut entraîner des problèmes de stabilité et de démarrage. Je l’utilise sur un système Windows 7 64 bits et j’installe progressivement certaines de mes applications les plus utilisées une par une avec le bouton « configurer les applications » juste pour m’assurer que la sécurité supplémentaire ne plante pas les programmes ( voir capture d’écran ci-dessous). Jusqu’à présent, le seul problème que j’ai rencontré était Skype, qui ne semblait pas aimer être obligé d’utiliser les six mécanismes de protection différents qu’EMET utilise par défaut lorsque vous ajoutez manuellement une application : il plantait simplement au démarrage.

L’autre chose que je devrais noter à propos d’EMET, c’est qu’il vous oblige à avoir Microsoft .RAPPORTER plate-forme installée. Et même si cela fonctionne techniquement sur Windows XP (Service Pack 3 uniquement), les utilisateurs de XP ne peuvent pas profiter de l’ASLR obligatoire et de certaines des autres protections notables incluses dans cet outil.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *