Exploitation en cours d'une faille non corrigée dans Microsoft Internet Explorer

Par Xavier Poli, secuobs.com
Le 10/12/2008

---

Résumé : Un code est disponible afin d'exploiter une faille, non corrigée, présente dans le navigateur Microsoft Internet Explorer. Il serait possible d'exécuter du code arbitraire sur le système d'exploitation sous-jacent, aucun correctif de sécurité n'est disponible à ce jour. - Lire l'article



Malgré la multitude de vulnérabilités qui viennent d’être corrigées par Microsoft dans le dernier bulletin ( lien ) en date du mois de décembre, il semblerait que la résolution d’une faiblesse importante ait échappé aux équipes de Redmond. L’ISC SANS a notamment confirmé que cette faille est bien exploitable sur une machine qui présente l’ensemble des correctifs de sécurité disponibles au jour d’aujourd’hui.

Cette vulnérabilité de corruption de la mémoire concerne plus particulièrement le navigateur Microsoft Internet Explorer et la bibliothèque de librairies mshtml.dll. Cette bibliothèque, aussi connue sous le nom de Trident, est le noyau de ce navigateur et prend en charge les fonctions de traitement et de rendu des langages HTML et Cascading Style Sheets ( CSS - lien ) ; elle sert également d’interface pour de nombreux éléments additionnels (JScript, VBScript, ActiveX, XML, etc.).

L’exploitation de cette faille serait déjà en cours puisqu’elle aurait été constatée par l’intermédiaire d’un code présent sur plusieurs sites web chinois. Bien que cantonné à l’Asie pour le moment, il y a fort à parier que l’on devrait voir arriver de façon massive ce code d’ici très peu de temps dans les plateformes d’exploitation plus traditionnelles géographiquement ; peut être également la publication prochaine d'un correctif hors cycle de la part de Microsoft.

Les fêtes de fin d’année approchant, on pourrait noter une forte recrudescence des attaques effectuées par le biais d'une multitude de codes exploitant cette faille. Elle permettrait à un attaquant d’exécuter du code arbitraire via le navigateur web de Microsoft en vue de compromettre le système d’exploitation sous-jacent ; il suffirait alors d’inviter un utilisateur à visiter une page web malicieusement forgée.

Techniquement, la faille serait liée aux traitements appliqués à certains types de données relatifs au format XML ( lien ) ; la mise en contact du navigateur web avec des données malformées de cette nature provoquerait alors le risque d’exploitation. Cette vulnérabilité repose en fait plus précisément sur un débordement de tampon ( lien ) au niveau du tas ( lien ) de la pile mémoire.

Pour des raisons de facilité, l’exploitation de ce type de failles utilise généralement la technique du heap-spraying qui permet, entre autres, de contourner les protections basées sur la randomisation du tas ; une technique notamment décrite par Saumil Shah dans la présentation « Browser Exploits – A new model for Browser Security » ( lien ) que nous évoquions récemment ( lien ).

Seule l’exploitation de la version sept de Microsoft Internet Explorer est possible pour le moment à condition que celui-ci soit exécuté sous des systèmes de type Microsoft Windows XP ou Windows 2003 et que le moteur Javascript soit activé. La distinction d'exploitation entre ces deux systèmes est réalisée par une portion de code Javascript prévue à cet effet ; toutes les versions de Microsoft Internet Explorer devraient prochainement être concernées par cette nouvelle menace.

Aucun correctif n’étant disponible à l'heure actuelle, il est seulement possible de désactiver le moteur d’exécution Javascript de Microsoft Internet Explorer ou d’utiliser des solutions alternatives comme Mozilla Firefox ( lien ) ou Opera ( lien ) pour naviguer sur le web bien qu’elles ne soient nativement elles-mêmes pas exemptes de toutes insécurités.

Source : CERT Lexsi Weblog ( lien ) et SANS ISC ( lien ) ; la faille a été confirmée par le CERTA ( lien ).