Dans la continuité des 0-Day Internet Explorer qui sont dévoilés et qui ne sont pas encore prisent en compte par Microsoft, voici “Microsoft IE CSS Use After Free” qui permet la prise de contrôle à distance d’un ordinateur vulnérable.
Cette vulnérabilité, a été découverte le 29 Novembre, et a été remontée le 10 Décembre 2010 , par les chercheurs en sécurité informatique Chinois de WooYun . Mais celle-ci n’était perçu à cet instant que comme un “vulgaire” déni de service distant (DoS). Le lendemain de cette remontée de vulnérabilité, VUPEN Security confirmait celle-ci mais lui donnait un tous autre aspect, il était possible suivant VUPEN d’exécuter du code arbitraire à distance par le biais de cette vulnérabilité.
Malheureusement, aucun écho officiel de la part de Microsoft ne c’est fait entendre, suite à la révélation de cette vulnérabilité et suite à la confirmation de la part de VUPEN. Il faut dire aussi que le modèle économique de VUPEN ne fournit pas de PoC au grand publique, mais uniquement à ses clients.
Le 16 Décembre, Nephi Johnson, un chercheur de BreakingPoint, confirmait le point de vue de VUPEN sur la dangerosité de cette vulnérabilité, en fournissant un détail de celle-ci, ainsi qu’un premier PoC. L’article de Nephi Johnson, “When A DoS Isn’t A DoS “, est très intéressant et nous vous invitons à le lire.
Suite à ces profusions de détails sur cette vulnérabilité, l’équipe de Rapid7, à bien sûr comme à son habitude intégré celle-ci dans sa suite Metasploit.
Ci-dessous une vidéo de démonstration de l’exploitation de cette vulnérabilité par le biais de Metasploit.
[youtube IP6UT7yAdaU nolink]
A ce jour cette vulnérabilité n’est toujours pas corrigée par Microsoft.
Mise à jour du 23 Décembre : Microsoft a pris en compte la vulnérabilité par le biais du SA2488013. Afin de mitiger l’impact de cette vulnérabilité, il est conseillé d’utiliser Enhanced Mitigation Experience Toolkit (EMET) .
;o)
Merci pour l’update 😉
Les commentaires sont fermés.