Une vulnérabilité critique d'Internet Explorer 11 peut être utilisée pour voler des identifiants d'utilisateur

Table des matières

• Un chercheur en sécurité découvre une faille critique de Cross Site Scripting (XSS) universelle qui affecte Internet Explorer 11 sur Windows 7 et 8.1
• Vulnérabilité

Un chercheur en sécurité découvre une faille critique de Cross Site Scripting (XSS) universelle qui affecte Internet Explorer 11 sur Windows 7 et 8.1

David Leo, un chercheur en sécurité, a découvert une faille de Cross Site Scripting (XSS) universelle qui affecte Internet Explorer 11 sur Windows 7 et 8.1, et qui pourrait permettre à des hackers potentiels d’exécuter des attaques de phishing extrêmement convaincantes contre les utilisateurs d’IE.

Leo a soumis sa révélation sur la liste de diffusion Full Disclosure, que vous pouvez trouver ici. Il a déclaré qu’il avait également signalé le problème à Microsoft le 13 octobre 2014, mais que Microsoft n’a pas encore corrigé la vulnérabilité à ce jour.

Vulnérabilité

La vulnérabilité est connue sous le nom de faille de Cross Site Scripting (XSS) universelle. La faille XSS peut être exploitée par des attaquants pour contourner la politique de même origine (SOP). La SOP est une politique cruciale pour tout utilisateur d’Internet car elle n’autorise pas un onglet de navigateur à accéder aux informations d’un autre onglet ou à modifier les cookies du navigateur ou d’autres contenus définis par un autre site sur cet onglet.

Leo a créé un site Web avec l’exploit de preuve de concept de la faille XSS qui peut être consulté ici. Le site Web peut faire apparaître un message que Leo a écrit juste pour montrer à quel point la vulnérabilité est critique.

Toute attaque potentielle peut utiliser cette vulnérabilité contre les utilisateurs qui utilisent des versions d’Internet Explorer prises en charge exécutant les derniers correctifs pour les envoyer vers des pages malicieusement conçues.

En utilisant le PoC de Leo, les hackers peuvent montrer un contenu potentiellement malveillant à l’utilisateur tout en maintenant la même URL affichée dans la barre d’adresse du navigateur que celle que l’utilisateur avait l’intention de visiter. Le potentiel malveillant de la faille a été confirmé par l’ingénieur en sécurité de Tumblr, Joey Fowler, qui a répondu à Leo,

Bonjour David, “bien” est un euphémisme ici. J’ai fait quelques tests avec celui-ci et, bien qu’il y ait des particularités, cela fonctionne définitivement. Cela contourne même les restrictions standard HTTP vers HTTPS. Tant que les pages étant encadrées ne contiennent pas d’en-têtes X-Frame-Options (avec des valeurs deny ou same-origin), cela s’exécute avec succès. En attendant que la charge utile soit injectée, la plupart des politiques de sécurité de contenu sont également contournées (en injectant du HTML au lieu de JavaScript, c’est-à-dire). Il semble que, par cette méthode, toutes les tactiques XSS viables soient ouvertes ! Belle trouvaille ! Cela a-t-il été signalé à Microsoft en dehors (ou à l’intérieur) de ce fil ? — Joey Fowler Ingénieur de sécurité senior, Tumblr

Le code d’exploitation ressemble à ceci

function go() { w=window.frames[0]; w.setTimeout(“alert(eval(‘x=top.frames[1];r=confirm(\’Fermez cette fenêtre après 3 secondes…\’);x.location=\’javascript:%22%3Cscript%3Efunction%20a()%7Bw.document.body.innerHTML%3D%27%3Ca%20style%3Dfont-size%3A50px%3EHacké%20par%20Deusen%3C%2Fa%3E%27%3B%7D%20function%20o()%7Bw%3Dwindow.open(%27http%3A%2F%2Fwww.dailymail.co.uk%27%2C%27_blank%27%2C%27top%3D0%2C%20left%3D0%2C%20width%3D800%2C%20height%3D600%2C%20location%3Dyes%2C%20scrollbars%3Dyes%27)%3BsetTimeout(%27a()%27%2C7000)%3B%7D%3C%2Fscript%3E%3Ca%20href%3D%27javascript%3Ao()%3Bvoid(0)%3B%27%3EAller%3C%2Fa%3E%22\’;’))”,1); } setTimeout(“go()”,1000);

Microsoft a déclaré qu’ils travaillaient sur un correctif pour la faille tout en affirmant qu’ils n’étaient pas au courant de l’exploitation active de la faille dans la nature.

“Pour exploiter cela, un adversaire devrait d’abord attirer l’utilisateur vers un site Web malveillant, souvent par le biais de phishing. SmartScreen, qui est activé par défaut dans les versions plus récentes d’Internet Explorer, aide à protéger contre les sites Web de phishing,” a-t-il déclaré. “Nous continuons à encourager les clients à éviter d’ouvrir des liens provenant de sources non fiables et à visiter des sites non fiables, et à se déconnecter en quittant les sites pour aider à protéger leurs informations.”