Attaques ciblées et zero-day contre Microsoft Jerome Saiz le 11 décembre 2008 à 13h20, dans la rubrique Menaces Commentaires fermés sur Attaques ciblées et zero-day contre Microsoft 0 dayattaquedepinternet explorermicrosoftwindowswindows writeword Au lendemain de la publication du correctif mensuel de l’éditeur, deux vulnérabilités non-corrigées émergent. L’une concerne les documents Word et serait utilisée dans le cadre d’attaques ciblées, et l’autre touche IE7 et serait elle aussi exploitée. C’est presque devenu une habitude : les vulnérabilités Microsoft non corrigées apparaissent au lendemain – voire le jour même – du « patch day » mensuel de l’éditeur. Et ce mois de décembre ne fait pas exception à la règle. Sauf qu’ici, les deux vulnérabilités annoncées sont sérieuses et manifestement déjà exploitées. La première concerne l’interprétation par l’application WordPad (le bloc-notes) des fichiers au format Word 97. Un document piégé pourrait provoquer une corruption de la mémoire et, très classiquement, permettre l’exécution de code. Microsoft reconnaît l’existence d’attaques ciblées exploitant cette vulnérabilité. Sur des systèmes équipés de Microsoft Word, c’est ce dernier qui ouvrira automatiquement les documents au format Word 97 et la vulnérabilité ne sera alors pas exploitée. En revanche Microsoft indique qu’un attaquant peut très bien renommer le fichier piégé en .wri (Windows Write), ce qui appellera cette fois-ci bien WordPad et l’interpréteur vulnérable. L’éditeur conseille, en l’attente du correctif, d’interdire au moins l’extension .wri sur la passerelle. Windows XP SP3, Vista et Server 2008 ne sont pas concernés par cette vulnérabilité. La seconde vulnérabilité du jour concerne Internet Explorer 7, sur toutes les versions supportées de Windows et, bien entendu, y compris parfaitement à jour de leurs correctifs. La faille se situerait dans le parser XML du navigateur. Celui-ci permettrait un dépassement de pile. La vulnérabilité serait dores et déjà exploitée, et le site Shadowserver.org publie même une liste (forcément incomplète) des domaines qui la mettent en oeuvre. Enfin, une règle Snort est proposée pour tenter de détecter l’exploit du moment. Bien que Microsoft prodigue quelques conseils afin de limiter l’impact de cette vulnérabilité en attendant un correctif, ces derniers ne sont guère adaptés à un parc étendu. L’éditeur conseille en effet d’activer le mode DEP de Windows pour Internet Explorer (une bonne idée, mais il faudra probablement repasser sur les postes) et de faire fonctionner le navigateur au niveau de sécurité le plus élevé. Mais cela le prive alors du support de technologies devenues (à tort ou à raison…) essentielles, tel Javascript ou ActiveX. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!