0-day Internet Explorer : la cybercriminalité dans la brêche
Par Fabien PERIGAUD, vendredi 12 décembre 2008 à 11:37 :: General :: #270 :: rss
Alors que Microsoft indique que la vulnérabilité annoncée deux jours plutôt dans Internet Explorer 7 touche en fait toutes les versions supportées 
(Alerte Lexsi 203), de nombreux codes d'exploitation commencent à voir le jour sur la toile, l'un d'entre eux étant annoncé comme universel par le framework Metasploit.
Certains voient dans cette 0-day un marché plutôt juteux, et l'on commence à voir apparaître de nouvelles compromissions de sites légitimes par injection SQL visant à insérer un Javascript malveillant exploitant la vulnérabilité, pour distribuer tous types de malwares. Notons par exemple la compromission d'un moteur de recherche taïwanais ou le site chinois d'Abit.
Malware as a service
Profitons de l'occasion pour observer l'évolution du "Malware as a service", prestation consistant à vendre un malware clés en mains à des clients n'ayant pas les moyens techniques de développer le leur. Un malware bancaire particulièrement connu et distribué par ce biais est Zeus, aussi nommé Zbot ou Prg. Celui-ci a récemment franchi une nouvelle étape, avec l'apparition d'un service regroupant de nombreuses prestations, visant à simplifier encore la tâche des "clients".
Présenté comme une combinaison d'un kit d'infection, Malkit, et du cheval de Troie Zeus, le service propose entre autres à ses clients les prestations suivantes, pour la modique somme de 50$ US par mois :
- Hébergement du kit Zeus à Amsterdam
- Kit Zeus pré-configuré
- Kit d'infection contenant une quinzaine de codes d'exploitation, provoquant le téléchargement du binaire Zeus
- Interface d'administration et de statistiques
On est en droit de se demander si à ce prix là , l'hébergeur ne se réserve pas le droit de se servir un peu au passage ...
Quel est le lien entre ce kit de malware et la vulnérabilité 0-day dans Internet Explorer ?
Une mise à jour de la page de présentation vient d'avoir lieu aujourd'hui :
La réaction du milieu criminel fût rapide, tel que l'on pouvait s'y attendre ...
La recommandation du jour ne sera pas vraiment différente de celle de l'avant-veille : maintenant que des sites légitimes commencent à devenir de potentielles sources d'infection, il convient d'appliquer urgemment les solutions de contournement fournies par Microsoft (Réf. Lexsi 11033), ou d'éviter purement et simplement d'utiliser Internet Explorer dans l'attente d'un correctif.