Microsoft publie un correctif d’urgence pour IE

Microsoft a publié une rustine temporaire censée corriger la dernière faille zero-day découverte dans son navigateur Internet Explorer, déjà victime d’exploit dans la nature. Toutefois, les experts en sécurité préviennent les RSSI des entreprises de rester vigilants, même après avoir appliqué le patch final, lors de sa sortie.
Selon l’éditeur de Redmond, la vulnérabilité, qui concerne les versions 6 à 10 de IE, peut entraîner la corruption de la mémoire et permettre ainsi à un attaquant d’exécuter du code malicieux dans le navigateur. Les pirates pourraient alors compromettre des sites Web ou manipuler les utilisateurs, les invitant à cliquer sur des liens insérés dans des emails afin d’exploiter la vulnérabilité. Des attaques sur IE8 et 9 ont été rapportées, souligne Microsoft.

«Dans les attaques ‘drive-by-download’, les attaquants ont seulement besoin qu’un utilisateur visite une page Web sous leur contrôle pour compromettre le navigateur, puis l’OS», affirme Patrick Thomas, consultant sénior en sécurité au sein de la société Neohapsis. «Les attaques drive-by-download sont puissantes car, à l’inverse du phishing, elles ne nécessitent aucune autre interaction de l’utilisateur qu’un simple clic sur un lien malicieux», ajoute-t-il.

Des mesures temporaires

Dans un bulletin, Microsoft indique que le correctif provisoire ne remplace pas la mise à jour de sécurité. «Nous vous recommandons de toujours installer les dernières mises à jour de sécurité. Toutefois nous vous proposons cette solution comme une mesure de contournement pour certains scénarios », indique le bulletin.
Dustin Childs, responsable de la division Trustworthy Computing de l'éditeur, confirme de son côté que les utilisateurs doivent appliquer cette rustine automatique, jusqu’à la publication d’une mise à jour. Il recommande aussi à ces mêmes utilisateurs de configurer les zones de sécurité pour Internet et Intranet Local à «Elevé» afin de bloquer les contrôles ActiveX et Active Scripting. Poussant un peu plus loin ces mesures temporaires, il conseille aux utilisateurs de configurer IE afin que leur soit demandé systématiquement une confirmation pour l’exécution d’Active Scripting ou de désactiver Active Scripting dans les zones Internet et Intranet Local. Toutefois, Childs rappelle que ces mesures peuvent dégrader l’utilisabilité (sic).

Patrick Thomas alerte de son côté les RSSI, leur rappelant que les auteurs de kits d’exploits ont l’habitude de faire du reverse-engineering sur les patches de Microsoft. «Même si cet exploit concernait à l’origine un nombre réduit de cibles, il devrait être intégré à de nombreux kits d’exploits commerciaux, dont l’utilisation sera généralisée d’ici à 5 semaines. Les administrateurs doivent en ternir compte dans leur mesures réparatrices. Même lorsqu’un patch est rendu disponible, cela prend du temps pour le déployer à l’ensemble de l’entreprise», soutient-il.

Traduit de l’anglais par la rédaction