XSS : nouveau bug zero-day chez Internet Explorer

Un jour nouveau, un zero-day nouveau !

En effet, Microsoft Internet Explorer s’est fait de la publicité, malgré lui, suite à la divulgation de l’existence d’un bug de type XSS (Cross-Site Scripting).

Microsoft étant déjà en train d’investiguer et de travailler sur un patch, la décision de rendre l’information publique à l’air plutôt irresponsable.

Il n’est pas fait mention d’une quelconque difficulté, de la part de Microsoft, pour sortir à temps son patch, ou encore du fait qu’il ait été contacté au préalable concernant ce bug.

Cependant, les détails du bug ont été révélés, incluant un POC (proof-of-concept) JavaScript, démontrant comment abuser de cette faille.

Donc qu’est-ce qu’un XSS, et quelles sont les conséquences en matière de sécurité informatique ?

Votre sécurité grâce à SOP

La sécurité d’un navigateur internet repose essentiellement, comme vous avez déjà pu le lire, sur ce que l’on appelle le SOP : Same Origin Policy.

Pour clarifier, toutes ressources spécifiques à un site X, qui sont stockées localement par le navigateur, telles que les cookies et les objets JavaScript, ne doivent, par la suite, être visibles uniquement lorsque vous visitez le site X en question.

En d’autres mots, si vous visitez mon site, example.com, et que je défini un cookie ainsi : « la dernière recherche de tel utilisateur à propos du mot banane », uniquement du JavaScript en provenance de mon site ne doit pouvoir lire les données concernant cette requête.

Si, maintenant, votre prochaine page web visitée est another.example, alors mon cookie doit en principe complètement disparaître.

Par contre, si vous revenez sur une page du site example.com, le cookie concernant le mot “banane” sera visible de nouveau.

Il y a 2 raisons évidentes à cela :

http://forms.aweber.com/form/80/286036380.js

XSS

Par contre, que se passe-t-il si je peux installer un lien, ou du JavaScript sur mon site, permettant d’aller chercher une page de votre site, et de la transformer avec du contenu malveillant de mon choix, avant que le navigateur de l’utilisateur en question ne l’affiche ? En effet, si je peux injecter du JavaScript privé, au sein d’une de vos pages internet, alors mon script tout d’un coup devient le vôtre ! En théorie, je peux avoir accès à vos cookies, ou bien lire le texte qui s’affiche sur vos pages web, ou encore envoyer les données à un autre site tiers, afin de pouvoir ensuite les collecter et les utiliser à des fins malveillantes. En fait, le navigateur pense que mon script, a la même origine que votre page internet. En effet, si l’utilisateur regarde la barre d’adresse, il verra le nom de votre site web, et n’importe quel script de votre provenance, peut avoir accès aux données personnelles de votre site, c’est ainsi que le système a été conçu ! A présent, la raison pour laquelle on utilise le nom XSS devient évidente : j’ai permis à mon site d’effectuer un “cross-over” au sein de votre site. Comme vous pouvez l’imaginer, les navigateurs sont supposés porter une attention toute particulière pour ne pas autoriser les XSS, et pour éviter que des données d’une page internet ne soient modifiées ou volées, de manière frauduleuse par quiconque. Mais de manière surprenante, Internet Explorer (du moins IE11, selon la compagnie qui a divulgué ce bug), n’empêche pas les XSS, ce qui s’est traduit par une faille de sécurité. Cette vulnérabilité a été nommée : CVE-2015-0072.

Suivre @SophosFrance

Quoi faire ?

D’une manière générale, les failles de type XSS ne sont pas aussi sérieuses que les RCEs, à savoir les bugs concernant les « Remote Code Execution », qui permettent des hackers d’installer des malwares directement sur votre ordinateur, sans même vous alerter.

Les bugs XSS peuvent, tout de même, permettre à des hackers de dérober des données, telles que les cookies de session, qui peuvent à leurs tours être utilisés pas des escrocs pour cloner votre session de login, et avoir ainsi accès à l’un de vos comptes en ligne.

Les bugs XSS peuvent aussi être utilisés par des pirates pour re-écrire des données sournoisement, au sein de votre page web, en remplaçant, par exemple, des liens officiels par d’autres qui seront infectés par des malwares.

En d’autres mots, faites bien attention à CVE-2015-0072, et munissez-vous au plus vite du patch Microsoft, dès qu’il sera disponible.

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]

NB : Sophos détecte et bloque cet exploit Exp/20150072-A. SophosLabs, de plus, surveille activement le web, et bloque les sites qui feront usage de CVE-2015-0072.

[/vc_message][/vc_column][/vc_row]

PROTECTION DE VOTRE RESEAU DOMESTIQUE GRATUITEMENT

Vous voulez utiliser le produit Sophos pour la protection de votre réseau chez vous ?

Vous pouvez télécharger la version pleinement fonctionnelle de Sophos UTM Home Edition (totalement gratuite).

UTM Home est tout simplement issu de notre gamme UTM, avec toutes les fonctionnalités activées, incluant le filtrage web et la protection contre l’intrusion, pour une utilisation domestique uniquement sous licence unique.

Billet inspiré de : “Internet Explorer has a Cross Site Scripting zero-day bug” par Paul Ducklin de Naked Security