Faille 0-day Microsoft : trop d'attente, et c'est le drame
Une vulnérabilité 0-day a été publiquement annoncée lundi dernier (Réf. Lexsi 11939), concernant un contrôle ActiveX de Microsoft DirectX DirectShow.
Celui-ci peut être instancié dans le navigateur, et en lui passant certains paramètres spécialement formés, un débordement de tampon se produit.
Vous connaissez la suite : exécution d'un shellcode, téléchargement d'un malware, vol d'informations en tous genres...
Le contrôle impacté a pour CLSID {0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}, il suffit donc de positionner un traditionnel "kill-bit" pour interdire son instanciation afin d'éviter toute exploitation.
Ce n'est pas la première fois qu'une vulnérabilité non corrigée est exploitée dans la nature pour distribuer chevaux de Troie et autres vers malveillants.
Toutefois, la lecture du bulletin publié par Microsoft aujourd'hui laisse songeur.... L'identifiant CVE affecté à la vulnérabilité est le CVE-2008-0015.
Vous avez dit 2008 ? La vulnérabilité semble en effet avoir été découverte fin 2007 par l'équipe ISS X-Force, et certainement remontée à Microsoft peu après.
On est en droit de se demander ce qui justifie l'absence de correction -ou de solution de contournement par blocage du contrôle ActiveX vulnérable, comme Microsoft le fait maintenant régulièrement par le biais de ses "Update Rollup for ActiveX Kill Bits"- depuis près d'un an et demi...
Ce qui devait arriver arriva, et des chercheurs aux intentions moins nobles ont découvert la vulnérabilité de leur côté.
Du côté des protections, on note l'apparition de règles Snort contre le code d'exploitation actuellement utilisé, ainsi qu'une liste des domaines connus pour héberger le code d'exploitation maintenue par l'ISC. (Source ZDNet)