Le 13 février 2014, FireEye a publié un billet sur une nouvelle vulnérabilité affectant les versions 9 et 10 d'Internet Explorer et découverte deux jours avant. Cette vulnérabilité était exploitée dans la nature, et ciblait le personnel de l'armée américaine.
1. Introduction
L'exploit a été déployé sur le site des vétérans de l'armée américaine : http://www.vfw.org qui fut compromis pour l'occasion. Les attaquants ont ajouté une iframe sur la page principale du site qui chargeait l'exploit en tâche de fond. D'après l'analyse rapide de FireEye [FIREEYE], l'exploit ciblait Internet Explorer 10 sous Windows 7. Il ne contourne pas les contre-mesures du logiciel EMET et vérifie dans le code JavaScript si l'utilisateur l'a installé ou non. Si tel est le cas, l'exploit n'est pas déclenché.
Analysons maintenant la vulnérabilité [CVE] (CVE-2014-0322) tout en produisant une preuve de concept pour Windows 7 qui sera également détaillée ici.
2. Analyse
En examinant le code d'exploitation trouvé dans la nature, on constate assez rapidement que la fonction
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première