0day

Et hop, encore une faille annoncée dans IE hier soir. Cette fois, elle permet l’accès à tous les fichiers présents sur le disque dur du PC, et toutes les versions d’IE sont concernées… mais la configuration par défaut dans les versions récentes de Windows (Vista, Server 2008, 7) empêche l’exploitation de cette faille. C’est donc principalement sous Windows XP que le risque existe. Cette version de Windows reste tout de même l’OS le plus répandu (à l’heure où j’écris ces lignes, plus de 66% de parts de marché d’après NetMarketshare).

La réaction de Bernard Ourghanlian (Directeur de la sécurité de Microsoft), rapportée par Clubic, est très intéressante ; il dit notamment (je cite) : “Nous aimerions bien nous débarasser d’Internet Explorer 6.0, mais on ne peut tout simplement pas. En entreprise, déployer un nouveau navigateur est un énorme travail. Tant que Windows XP sera supporté par Microsoft (jusqu’en 2014), Internet Explorer 6.0 le sera également“.

Au delà de cette nouvelle faille qui prouve l’intérêt sécuritaire de l’approche de cloisonnement que nous avons développée pour Virtual Browser, les propos de Bernard Ourghanlian illustrent également la problématique liée à la gestion du/des navigateur(s) en entreprise : le déploiement et les mises à jour de ce client représente une charge importante, et donc un coût non moins important pour les entreprises. Là aussi, Virtual Browser facilite le travail de l’administrateur grâce à son architecture centralisée et aux fonctions de mises à jour des différents composants du navigateur (moteur de rendu, plugins, …).

Bref, les mois se suivent et se ressemblent… Et tout porte à penser que les entreprises ont besoin de revoir l’architecture d’exécution, de déploiement et de mise-à-jour de leur navigateur. C’est le sens de nos efforts et la finalité de Virtual Browser.

Une nouvelle alerte de sécurité annoncée par Microsoft dans son navigateur web Internet Explorer a provoqué une communication officielle de plusieurs gouvernements encourageant à trouver des alternatives pour surfer sur Internet et sur les applications web.

Vendredi 15 janvier 2010, le BSI allemand et le CERTA français (Centre d’Expertise de Réponse et de Traitement des Attaques informatiques) ont émis des bulletins demandant d’éviter l’utilisation d’Internet Explorer, en raison d’une faille de sécurité publiée la veille par Microsoft.

La démarche est inédite car jamais des organismes gouvernementaux n’ont demandé publiquement de ne plus utiliser un logiciel défaillant. Mais cette fois-ci, la vulnérabilité annoncée affecte toutes les versions du logiciel depuis sa version 6. Sachant que le logiciel est utilisé par les deux tiers des internautes, le nombre d’ordinateurs pouvant être compromis par une attaque est colossale. Le risque est donc de voir une vague massive d’attaques s’appuyant sur la vulnérabilité pour mettre à mal un très grand nombre d’entreprises, voire des organisations gouvernementales. 

Selon le CERTA français, L’utilisation de cette vulnérabilité permet à un attaquant d’exécuter du code à distance sur la machine de l’utilisateur et donc de voler des données ou de compromettre le système. Il semble d’ailleurs que plusieurs entreprises, dont Google, auraient déjà été victimes de cette attaque.

Cette fois c’est Internet Explorer qui est mis en cause. Mais en réalité, c’est l’architecture des navigateurs eux-mêmes qu’on devrait contester et c’est ce que nous faisons avec la solution Virtual Browser. C’est la raison pour laquelle la seule façon réellement efficace de se protéger contre ces risques est d’isoler le navigateur dans des machines virtuelles cloisonnées et déportées sur des serveurs. Grâce au mécanisme de cloisonnement de Virtual Browser, les utilisateurs peuvent continuer à utiliser Internet Explorer sans craindre les conséquences dues à l’exploitation de ses vulnérabilités. 

En début de semaine, une nouvelle vulnérabilité dans IE6 et IE7 a été rendue publique sur Internet avant que Microsoft n’en ai eu connaissance. Ce dernier a réagi avec un bulletin de sécurité mais n’a pas encore donné de date pour un correctif. Comme d’habitude (souvenez-vous de ça, ou de ça), les moyens de protection sont relativement contraignants et les risques assez elevés (accés au poste avec les droits de l’utilisateur). Cela risque de poser problème si une attaque d’envergure est mise en place à court terme car ce sont des navigateurs utilisés en forte proportion en entreprise.

Il n’est jamais trop tard pour rappeler qu’une attaque web peut tromper même le plus averti des utilisateurs. C’est ce qui vient d’ailleurs d’arriver à Gadri Evron (expert reconnu en sécurité) qui a participé à son insu à propager un ver sur Facebook. Même si celui-ci a été rapidement stoppé par Facebook, il est intéressant de noter que le ver utilisait la technique du Clickjacking (et non une vulnérabilité CSRF comme indiqué initialement sur certains blogs) pour se propager.

La quatrième vulnérabilité 0-day (après celle-là et celles-ci) en seulement deux semaines vient de tomber et elle touche un des plugins les plus installés sur les navigateurs : le lecteur Flash d’Adobe qui est utilisé pour rendre les sites Web visuellement plus attractifs, pour voir les vidéos sur YouTube, pour jouer en ligne, …

A quoi faisons nous face :

• Une vulnérabilité critique dans le lecteur Flash (au moins versions 9 et 10) pouvant être exploitée depuis tous les navigateurs et tous les systèmes d’exploitation en navigant sur un site web compromis (drive-by attack) ou par la lecture d’un fichier PDF malicieux avec Adobe Acrobat Reader ;
• Les deux méthodes d’exploitation ont déjà été observées sur Internet ;
• Aucune méthode de protection mis à part la desinstallation du lecteur ou de certains de ces composants ;
• La désactivation de Javascript ne protège pas totalement contre une exploitation ;
• Adobe ne fournira par des versions correctives avant le 30 Juillet.

Que faites vous ?

Une nouvelle vulnérabilité dans le composant ActiveX Video Control de Microsoft met à nouveau la pression sur le navigateur. En effet, des milliers de sites web (compromis pour la plupart) sont déjà utilisés pour exploiter cette faille et prendre le contrôle de la machine.

Du côté des correctifs, Microsoft a publié un bulletin de sécurité et une analyse sur son blog sécurité mais pas encore de version corrective. Le seul moyen de contournement étant d’utiliser le fameux Kill-bit pour désactiver l’ActiveX (ou bien sûr de ne pas utiliser IE pour surfer sur Internet…). Microsoft mérite tout de même un carton rouge car le numéro de CVE (CVE-2008-0015) et sa date d’enregistement montre qu’ils avaient connaissance de la vulnérabilité depuis 18 mois.

Du côté de commonIT, notre solution de navigateur virtualisé Virtual Browser permet de protéger, par construction, le poste de l’utilisateur de ce genre d’attaque. En effet, même en utilisant le moteur de rendu d’Internet Explorer, l’exploitation de cette vulnérabilité ne permettra la prise de contrôle, ni du poste de l’utilisateur, ni du réseau de l’entreprise, ni même des applications web de confiance. Tout code malveillant téléchargé sera détruit automatiquement lors de la fermeture de la fenêtre. Stress-free Internet ?