L’exploitation de la faille VML d’Internet Explorer attire de plus en plus de pirates

Les experts de sécurité ont mis en garde contre l’augmentation considérable du nombre de pirates qui exploitent activement une vulnérabilité liée au Vector Mark-up Language (VML) gérée par Internet Explorer. Une faille que Microsoft a récemment découverte. « De plus en plus de sites utilisent ce code qui permet d’exploiter la faille « , confie Craig Schmugar, chercheur antivirus de l’Avert Labs de Macafee.

Les éléments pour exploiter cette faille ont été intégré dans une boîte à outils malveillante du nom de « WebAttacker », ce qui a grandement facilité son exécution, estime Craig Schmugar.
« [WebAttacker] est connu pour permettre aux utilisateurs débutants d’utiliser cette boîte à outils pour installer leur payload », a-t-il expliqué. En français, on pourrait traduire le terme payload par « charge utile » . Il désigne en particulier l’activité malicieuse d’un virus. « Des outils ont été mis en ligne pour permettre aux pirates de se connecter à une URL et de développer un outil permettant d’exploiter la faille pour télécharger et d’exécuter le fichier de leur choix », poursuit l’expert.

Mercredi dernier, les média ont fait l’écho d’une vulnérabilité non corrigée détectée dans le langage VML d’Internet Explorer permettant aux pirates de prendre le contrôle d’un système. Cette vulnérabilité a été exploitée pour la première fois sur un groupe de sites pour adultes hébergés en Russie.

Une tentative d’arnaque par phishing basée sur la faille à exploiter via VML a également émergé le week-end dernier, visant à dérober les données de connexion des sites financiers. Cette information a été révélée à Vnunet.com par le CTO d’Exploit Prevention La bs, Roger Thompson.

Le groupe envoie chaque semaine des spams informant leurs destinataires qu’ils ont reçu une carte numérique sur le service Yahoo Greetings. Dès que les utilisateurs se rendent sur le site Yahoo, ils passent automatiquement par un serveur abritant la faille à exploiter au préalable. Ce serveur va infecter le système des utilisateurs grâce à un cheval de Troie. Celui-ci est conçu pour collecter toutes les informations utilisées sur les formulaires en ligne, ce qui permet aux pirates de recueillir les informations de connexion des sites bancaires ou des services de paiement en ligne de type PayPal.

Les pirates sont actifs depuis environ quatre à cinq mois. Avant d’exploiter la vulnérabilité VML, ils ont tout d’abord utilisé une faille de sécurité critique détectée dans les composants Microsoft Data Access de Windows et qui a été réparée en avril dernier.

Même en exploitant la vulnérabilité corrigée, les pirates sont parvenus à collecter 200 Mo de données chaque semaine, estime Roger Thompson. L’expert pense que le nombre de victimes va augmenter car le groupe de pirates utilise la faille dans VML qui n’a toujours pas été corrigée.

Dans une autre attaque, des cybercriminels sont parvenus à détourner des comptes utilisateur hébergés sur HostGator en exploitant une vulnérabilité dans le logiciel d’hébergement cPanel que le fournisseur n’a pas su corriger. Les pirates se sont introduits sur les sites Web hébergés sur ce serveur de façon à afficher une petite balise « iFrame » dirigeant automatiquement les utilisateurs sur un site abritant la faille à exploiter.

« Il est intéressant de constater que la faille qu’il est possible d’exploiter sur cPanel ne fonctionne que si vous êtes membre du service d’hébergement », commente Eric Sites, vice-président de la division R&D de Sunbelt Software. C’est cet éditeur de solutions de sécurité qui a découvert en premier la faille potentielle à expoiter par l’intermédiaire du service d’hébergement.

Microsoft projette de corriger la vulnérabilité VML le 10 octobre prochain, dans le cadre de son traditionnel cycle de correctifs. Vendredi dernier, un groupe de chercheurs indépendants a publié un correctif VML non officiel.

Mais l’utilisation de plus en plus répandue de cette vulnérabilité pourrait contraindre Microsoft à anticiper le lancement de son correctif. Les éditeurs de logiciels de sécurité sont en effet incapables de créer des signatures de détection pour tous les programmes malveillants exploitant cette vulnérabilité.

Traduction et adaptation d’un de Vnunet.com en date du 26 septembre 2006