Et de quatre ! Hier, après la 0-day sur les documents Word (Ref Lexsi : 7451), celle d'Internet Explorer sur daxctle.ocx (Ref Lexsi : 7507), celle sur PowerPoint (Ref Lexsi : 7521), voici la dernière en date impactant Internet Explorer VML (Ref Lexsi : 7520).

Sunbelt a annoncé sur son blog l'apparition dans la nature d'un exploit concernant Internet Explorer 6 sous Windows XP. Cette 0-day exploite un dépassement de tampon dans la pile associé à une méthode VML (Vector Markup Language).
Le VML est un standard définissant les vecteurs graphiques dans XML.

L'exploit était chargé depuis http://www.insorg.org/demo.php, qui détecte les versions d'OS et de navigateurs des internautes. Ensuite, ceux ci sont redirigés vers un exploit connu selon leurs configurations (la plupart sont des vulnérabilités corrigées).
Seuls les possesseurs d'Internet Explorer 6 et Windows XP SP2 seront redirigés vers la page http://www.insorg.org/()/counter.cgi?type=MS06-XMLNS qui exploite cette 0-day.
Finalement des malwares sont téléchargés depuis la page http://www.insorg.org/botnet/in.php, qui téléchargent alors des chevaux de Troie (Win32:Agent-BND(trj) et Win32:Zlob-A0(trj)) depuis http://www.drabland.net.

Cet exploit est maintenant détecté par certains éditeurs anti-virus (Trojan.Vimalov (Symantec), EXPL_EXECOD.A (TrendMicro), Exploit-VMLFill (McAfee), Exploit:HTML/Levem.C (Microsoft)).

Notre équipe a étudié l'exploit et identifié la DLL vgx.dll comme étant responsable de cette vulnérabilité. Il est recommandé de désactiver cette DLL en question ainsi :
regsvr32 -u "%ProgramFiles%\CommonFiles\Microsoft Shared\VGX\vgx.dll"

Microsoft a publié un bulletin de sécurité (Microsoft Security Advisory (925568)) concernant cette vulnérabilité. Un correctif serait sur le point d'être finalisé et serait disponible lors du prochain Patch-D le 10 octobre 2006 au plus tard.