Deux vulnérabilités majeures pour Windows et Internet Explorer sont actuellement exploitées dans la nature. L’une vient d’être corrigée, l’autre pas encore (mais dispose d’un FixIt fournit par Microsoft en attendant son correctif).

Dans les deux cas ces vulnérabilités sont largement diffusées au sein de la communauté des attaquants et leurs modules d’exploitation sont disponibles au sein du framework Metasploit.

La première (CVE-2012-1875) vient d’être corrigée à l’occasion du bulletin MS12-037. Elle permet l’exécution de code à distance à la visite d’une page web piégée.

Si elle est relativement simple à mettre en oeuvre (un fragment de code Javascript suffit) elle est en revanche plutôt sophistiquée dans sa conception. Elle neutralise l’ASLR en forçant le chargement d’une ancienne version du runtime C de Microsoft (qui n’implémente pas ASLR), puis contourne le DEP grâce à une astucieuse utilisation du ROP (Return-oriented programming). Avec cette technique l’attaquant se dispense d’injecter son propre code en choisissant plutôt les instructions qu’il souhaite exécuter au sein des programmes existants (et donc déjà chargés en mémoire exécutable), et en sautant de l’une à l’autre avec l’instruction Return. Au final, son « programme » n’est qu’une liste de courses d’instruction à aller chercher en divers endroits de la mémoire (d’où la nécessité de neutraliser l’ASLR préalablement).

Cette vulnérabilité concerne toutes les versions d’Internet Explorer de 6 à 9 et elle est jugée critique sur tous les systèmes Windows client supportés par Microsoft. Elle est dite « modérée » pour les versions serveur de Windows (et ne concerne pas Windows Server 2008).

La seconde (CVE-2012-1889) est tout aussi sévère mais elle n’est pas encore corrigée. Microsoft propose toutefois une solution de contournement sous la forme d’un FixIt, en attendant un correctif. Elle permet elle aussi l’exécution de code arbitraire à la visite d’une page web piégée. Sont concernées toutes les versions en cours de support de Microsoft Windows et Microsoft Office 2003 et 2007. Microsoft a publié une alerte hors-cycle.

Cette vulnérabilité est elle aussi actuellement exploitée dans la nature, et présente dans le framework Metasploit. Elle frappe Microsoft XML Core Services, et est moins originale dans sa conception : il s’agit d’une simple corruption de mémoire lorsque XML Core Services tente d’accéder à un objet non-initialisé en mémoire. Rien d’intéressant, donc, mais l’impact est le même. Cette vulnérabilité a été documentée par Google, qui estime qu’elle est utilisée dans le cadre d’attaques ciblée le mois de mai dernier.