Un exploit fonctionnel qui tire parti d’une faille de sécurité critique jusque-là inconnue dans Internet Explorer a été publié en ligne. Les experts disent que la vulnérabilité est activement exploitée dans la nature et qu’elle semble être liée au même groupe de pirates chinois responsables d’avoir déclenché une paire d’exploits Java zero-day à la fin du mois dernier.
Chercheurs à la société de test de vulnérabilité de sécurité Rapide7 ont ajouté un nouveau module à l’offre de l’entreprise cadre Metasploit gratuit qui permet aux utilisateurs d’attaquer avec succès la vulnérabilité sur les versions 7, 8 et 9 d’Internet Explorer sur Windows XP, Vue et 7.
« Les ordinateurs peuvent être compromis simplement en visitant un site Web malveillant, ce qui donne à l’attaquant les mêmes privilèges que l’utilisateur actuel », a déclaré le chercheur Rapid7 « sinn3r ». a écrit sur le blog de l’entreprise. « Comme Microsoft n’a pas encore publié de correctif pour cette vulnérabilité, il est fortement conseillé aux internautes de passer à d’autres navigateurs, tels que Chrome ou Firefox, jusqu’à ce qu’une mise à jour de sécurité soit disponible. L’exploit avait déjà été utilisé par des attaquants malveillants dans la nature avant d’être publié sur Metasploit. La vulnérabilité associée met environ 41 % des utilisateurs d’Internet en Amérique du Nord et 32 % dans le monde à risque.
La nouvelle de l’exploit IE a fait surface sur le blog de chercheur en sécurité et blogueur Eric Romang, qui a déclaré avoir découvert le code d’attaque lors de l’examen d’un serveur Web récemment utilisé par des pirates chinois pour lancer des attaques ciblées via des vulnérabilités Java zero-day qui ont été corrigées par Oracle le mois dernier. Romang et d’autres experts ont relié les sites servant ces exploits Java aux attaques Nitro de 2011, des attaques d’espionnage dirigées contre au moins 48 entreprises chimiques et de défense.
J’ai envoyé un ping à Microsoft pour un commentaire, mais je n’ai pas encore eu de réponse d’eux. Je soupçonne qu’ils préparent un avis sur cette menace et mettront à jour ce message lorsque je recevrai une réponse. Jusqu’à ce qu’un correctif officiel soit disponible, les utilisateurs d’IE feraient bien de surfer avec un autre navigateur.