BlogBang

Aurora – L’attaque qui a ciblé Google a utilisé une faille dans Internet Explorer

Par Korben | Nb visites : 342

chineseb Aurora Lattaque qui a ciblé Google a utilisé une faille dans Internet Explorer

Cette semaine, on apprenait que Google s’était fait piraté et volé ses petits secrets et selon Mc Affee et Verisign qui bossent sur le dossier, il semblerait que les pirates chinois ont utilisé plusieurs failles. Tout d’abord la faille dans les documents PDF (ce que Adobe conteste) mais surtout une faille, encore inconnue jusqu’à hier, qui touche toutes les versions d’internet explorer.

Les pirates ont pu mettre en place un exploit ciblé sur des sites web officiels chinois, qui a exploité un problème de gestion d’erreur dans Internet Explorer, permettant le téléchargement et l’installation d’un ou plusieurs malwares. Ainsi, ils ont pu mettre en place une backdoor indétectable dans certains ordinateurs et accèder à distance à l’intranet des entreprises. (dont Google)

Cette opération a été baptisée Aurora par Mc Affee car ce mot figurait dans les chemins d’accès ajoutés aux malware par les compilateurs pour indiquer où se trouvent les sources et les logs de débug, sur la machine du développeur.

Microsoft est donc maintenant bien au courant de cette faille et est en train de développer un patch. En attendant, l’exploit est maintenant public (pour Metasploit ici – Merci Seb) et des nouveaux malwares sont en train de voir le jour. Le gouvernement allemand a d’ailleurs alerté tout le monde et recommande d’arrêter d’utiliser Internet Explorer.

Quoiqu’il en soit, Google a bien eu la confirmation que ces attaques était extrêment précises et ciblées et d’après ce qu’ils expliquent, ça laisse peu de doute quand à l’innocence du gouvernement chinois.

Ah zut, j’ai failli oublié mon troll final : « Sérieux, ils utilisent IE chez Google ? » :-D

Merci à Hichamsoft d’avoir attiré mon attention là dessus

Publicité

Je vous recommande aussi la lecture des sujets suivants


Faites un lien vers cette news sur votre site



41 commentaires

  1. Tux-planet Reply to this comment


    Ils sont grave chez Google d’utiliser Windows quand même !!! Surtout que leurs serveurs sont déjà sous Linux.

    Posté le 16 janvier 2010 à 12:53:26

  2. Raito Kun Reply to this comment


    Tout ça est vraiment bizarre…
    En même temps comment ont ils pu cibler google vu que cette faille touche Internet explorer ? par adresse IP ? mais je crois qu’ils connaissent seulement l’adresse des serveurs …
    Quelqu’un a une explication ?

    Posté le 16 janvier 2010 à 12:58:58

  3. Korben Reply to this comment


    @Raito Kun: @Tux-planet: Ils suffit qu’ils rentrent dans le PC Windows + IE d’un employé de Google Chine et ainsi accèder au réseau local et aux serveur locaux (et distant si ils ont chopé les mots de passe)

    Posté le 16 janvier 2010 à 13:00:31

  4. FireFox-User Reply to this comment


    Vive firefox !

    Posté le 16 janvier 2010 à 13:05:36

  5. Raito Kun Reply to this comment


    @Korben: Merci pour l’explication, tout ça fait flipper quand même, si on a plus confiance en les sites de son propre gouvernement :s

    Posté le 16 janvier 2010 à 13:05:43

  6. ez Reply to this comment


    J’ai quand même du mal à croire que Google utilise IE.
    Quoique, ils se doivent d’utiliser tous les navigateurs existants pour leurs services.

    Posté le 16 janvier 2010 à 13:16:23

  7. MikeZ Reply to this comment


    Et madame michu elle va arrêter d’utiliser IE, sérieux? :p

    Remarquez, c’est peut etre le seul argument qui peut la convaincre : la peur des chinois :D

    Et dire qu’en france on va faire la chasse au full disclosure…

    Sinon, bizarre cette news…. Google qui est le premier supporter de firefox piégé par IE…Mouais….

    Aux Employés (de bureau) de Google : au lieu d’inventer de nouveaux moyens de nous espionner quand on surfe et de vous prélasser dans vos salles de squatch et votre sauna, passez des formations linux quoi :) (

    Posté le 16 janvier 2010 à 13:21:29

  8. Noz Reply to this comment


    Ce matin vers 11h google.com inaccessible, google.fr OK… Encore les chinois?

    Posté le 16 janvier 2010 à 13:30:16

  9. Samano Reply to this comment


    @MikeZ: + 1000 pour le full disclosure

    A toutes ces entreprises qui trainent ceux qui les aident en trouvant des failles dans leur système vont vite comprendre leur douleur quand les journaux traditionnels en feront leurs gros titres.

    Posté le 16 janvier 2010 à 13:35:27

  10. Tymir Reply to this comment


    Ils auront toujours besoin d’utiliser IE, ne serait ce que pour la compatibilité. Et Google n’est plus vraiment le premier supporter de Firefox, ils ont Chrome maintenant.

    Posté le 16 janvier 2010 à 13:42:33

  11. citoyenlambda Reply to this comment


    Korben merci pour ton post et ton commentaire qui éclaircit les choses.

    Donc il serait possible que l’exploit d’internet explorer se trouve sur un site internet sur lequel un ou plusieurs employés de google chine se sont rendu
    (les pc situés chez google en chine sont faciles à identifier, l’adresse IP avec laquelle ils surf est déclarée publiquement).

    une fois leur PC infectés par le malware, il était possible aux pirates chinois d’entrer dans le PC de l’employé puis de google comme le dit Korben dans son commentaire.

    On ne sait pas depuis combien de temps le pc de l’employé est infecté, mais il fallait savoir que l’employé de google se rendrait sur le site piégé.

    une autre réflexion est que pour avoir identifié et maitrisé au point d’être capable d’exploiter une faille inconnue d’IE, ça n’est pas le premier pirate venu qui peut le faire.

    La plupart des pirates exploitent des failles publiées non corrigées à temps par les victimes (cf. le pb conficker).

    Là pour trouver une faille non répertoriée sur tout les IE, en plus y compris le dernier IE8 présenté comme plus sécurisé, et la maitriser je pense que ça ne peut-être qu’une équipe dédiée à ce type de travail.

    Je ne sais pas s’il y a des équipes type sécunia chargées de benchmarker la sécurité des logiciels, et de tester la sécurté des logiciels mais pour trouver une faille avant tout le monde et toutes ces équipes, il faut des spécialistes.

    ça ne serait donc pas le fruit du hasard et on ne peut penser qu’aux gouvernement chinois.

    A ce type d’attaque, je ne vois qu’une parade, faire surfer sur internet ses employés à partir d’une machine virtuelle, et n’autoriser le surf sur sa machine connectée au réseau que pour l’intranet.

    Cela dit, cela dénote que le gouvernement chinois veut vraiment ces informations sur les dissidents et qu’il n’arrivait pas à l’obtenir autrement, par exemple en faisant embaucher chez google Chine des agents à lui qui le renseignerait.

    Au final je trouve ça très bête de la part du gouvernement Chinois, ils se mettent tout le monde à dos et démontre que la Chine n’est pas un partenaire commercial fiable et reglo et qu’il faut s’en méfier qu’on ne peut pas lui faire confiance.

    espèrons que ça se retournera contre eux.

    Posté le 16 janvier 2010 à 13:42:43

  12. phadeb Reply to this comment


    http://wepawet.iseclab.org/view.php?hash=1aea206aa64ebeabb07237f1e2230d0f&type=js

    Pour les curieux …

    Posté le 16 janvier 2010 à 13:44:06

  13. Google tient tête au gouvernement chinois « RienduTux Reply to this comment


    [...] Le mot de la fin ici, là,  ou encore là. Finalement, google s’est fait royalement couillonné… Et ses [...]

    Posté le 16 janvier 2010 à 13:44:22

  14. DaarkMoon Reply to this comment


    Il sont bien obligé d’utiliser IE pour verifié le rendu des page non ?

    Posté le 16 janvier 2010 à 13:55:28

  15. Lifty Reply to this comment


    @FireFox-User:

    C’est pas dit que demain ce ne soit pas une faille dans ff qui soit exploité ;) Bon ok IE c’est pas la panacée quand même …

    Et les gens de google doivent aussi dev pour toutes les versions de navigateurs dont IE :D Ah le cross navigateur une grande histoire d’amour avec les développeurs … ou pas !

    Posté le 16 janvier 2010 à 14:02:28

  16. Timmy Reply to this comment


    @DaarkMoon: Pas forcement, ya des modules firefox qui permettent de switcher de rendu (firefox ou IE) et tout sa en restant sur firefox.

    Posté le 16 janvier 2010 à 14:05:57

  17. jmgcuc Reply to this comment


    Timmy si tu pense à IETab, il ne fait pas que du « rendu » IE, mais donne carrément le contrôle a trident ( le moteur de IE ) et récupère le résultat.

    Ce bug affectant trident ( via DOM ) avec une solution comme IETab, la faille fonctionne.

    Posté le 16 janvier 2010 à 14:30:54

  18. pyschopathe Reply to this comment


    @Timmy: C’est vrai, mais les modules en question utilisent le moteur de rendu d’Internet Explorer. Si la faille se trouve dans Trident, et je parierais la dessus, passer par IETab ou autre ne protège en rien…

    Cependant, je doute que l’infection ait été propagée par des pages développées par Google, donc IE a probablement été infecté au cours d’une navigation classique, pas lors de tests.

    @citoyenlambda: Je plussoie, c’est pas le hacker moyen qui trouve une faille IE à la demande, l’équipe de pirates embauchée par la Chine n’est pas constituée d’enfants de chÅ“ur !

    @Tux-planet: La plupart des grandes entreprises possèdent des serveurs sous GNU/Linux ou autre systèmes libres, cela n’empêche pas que les employés utilisent Windows pour un certain nombre de raisons : compatibilité des logiciels, efficacité des utilisateurs sur un système qu’ils maîtrisent, etc.

    Posté le 16 janvier 2010 à 14:40:38

  19. pyschopathe Reply to this comment


    @jmgcuc: Mince grillé ^^ ! Au moins j’ai la confirmation que la faille touche bien Trident.

    Posté le 16 janvier 2010 à 14:42:03

  20. Gwodry Reply to this comment


    Bonjour,

    Si je comprends bien, la vulnérabilité dont les chinois (« du FBI » ;-p) se sont servis se situe dans IE. IE n’est pas simplement un navigateur ouaibe mais un élément bien plus fondamental de l’environnement Windows.

    Sait on à quel niveau siège cette vulnérabilité et si elle n’impacte que IE utilisé comme navigateur ou d’autres qui s’appuient sur un processus plus profond de Windows ?

    D’autres ont ironisé sur l’emploi d’IE chez Google. Ignorant où se situe la faille, et si elle se limite à IE navigateur ou si elle impacte IE comme processus profond de Windows, je m’interroge sur la planification de cette attaque : Soit la faille est limitée au navigateur, et il y a encore ou il y a eu des machines connectées à l’intranet Google utilisant IE alors que je ne peux pas prendre le métro sans rencontrer une affiche sur Chrome. Et bien sûr, l’envie d’un petit troll bien gras surgit.
    Soit elle se situe plus profond, et rend vain notre petit troll si d’autres navigateurs peuvent hériter de cette faille.

    Posté le 16 janvier 2010 à 14:51:24

  21. hichamsoft Reply to this comment


    Il n y a pas de quoi chère Korben ;)

    Posté le 16 janvier 2010 à 14:52:19

  22. ozenda Reply to this comment


    @phadeb:
    salut a toi phadeb. Pourrais-tu expliquer de quoi il s’agit exactement? quand je me rend sur ton lien bit defender bloque un fichier « exploit.comele.A » qui est apparament l’exploit javascript en question. J’utilise pourtant firefox à jour. C’est pour démontrer l’application du malware que t’as mis ca je comprends pas? les lignes de codes sur la page ne me renseigne pas beaucoup a vrai dire.
    PS: le fichier semble qd meme inofensif mais bon vaut mieux prévenir qd on met un tel lien

    Posté le 16 janvier 2010 à 15:09:23

  23. wido Reply to this comment


    Bonjour,
    il y a un bon article sur le piratage en chine et pas seulement que pour google mais pour le monde entier.

    http://www.zataz.com/news/19854/pirate-hacker-chinois-chine-china-google.html

    Posté le 16 janvier 2010 à 15:22:33

  24. Puertorico Reply to this comment


    @wido si zataz est ta. Reference en matiere d information underground:change
    Bancal est un grosse m…de oportuniste.Ses article truffes d erreurs et d aproximations.
    C le 20mn de la securite informatique.

    Posté le 16 janvier 2010 à 15:48:56

  25. Cr0k Reply to this comment


    Encore mieux que d’arrêter l’utilisation d’IE :
    *LINUX*

    Posté le 16 janvier 2010 à 15:59:27

  26. Crash Reply to this comment


    Il faut qu’on m’explique, pourquoi les mecs de chez Google utilise IE ?
    Ils sont virer depuis ?

    Posté le 16 janvier 2010 à 16:29:20

  27. Dju Reply to this comment


    « recommande d’arrêter d’utiliser Internet Explorer. » j’adoooore :D
    cela dit IE, ou autre, le moyen reste somme toute classique, puisqu’une fois les ordis infectés, le pirate a à sa disposition un botnet qui lui permet de faire beaucoup de choses…

    Posté le 16 janvier 2010 à 16:44:48

  28. phadeb Reply to this comment


    @ozenda : Il n’ya aucun code malicieux dans mon lien, c’est simplement le report de wepawet sur l’exploit, avec le code détaillé, montrant qu’il n’est pas détecté par les antivirus. La mention « no exploits were identified »

    Posté le 16 janvier 2010 à 17:14:43

  29. Emodos Reply to this comment


    Ie ? chez Google ? lol et Chrome ? ils l’ont dev pour le peuple ? mais pas pour eux ? ok ben je linstalle pas et je reste sous FF :)

    Posté le 16 janvier 2010 à 18:14:22

  30. Tiignon Reply to this comment


    Les employés Google sous Windows … Faille dans IE ^^ Merci Bill :)

    Posté le 16 janvier 2010 à 20:10:06

  31. Google VS Chine : victime d’une aurore « Elhena Network Reply to this comment


    [...] petite nouvelle qui nous vient directement de chez Korben vient de tomber à propos de l‘attaque dont a été victime [...]

    Posté le 16 janvier 2010 à 21:56:53

  32. LeBidouilleur Reply to this comment


    Juste pour info,

    Sur XP, Internet Explorer n’est pas désinstallable.
    De ce faite, on ne peut, à part avec des GPO, interdire l’utilisation de IE.

    Posté le 17 janvier 2010 à 01:03:51

  33. Mouais... Reply to this comment


    Trouver une 0 day dans IE… fort. Ils auraient quand même pas été aidés par MS directement ? ;)

    Posté le 17 janvier 2010 à 01:59:08

  34. zorro51 Reply to this comment


    Vous me faites rires : vous pensez qu’il n’existe pas de failles dans Firefox ?
    IE8 est exécuté dans un bac à sable, et si l’UAC est mis à son maximum, je pense qu’on aura le droit à une alerte si on va sur une page web piégée…

    Posté le 17 janvier 2010 à 09:41:50

  35. Utan88 Reply to this comment


    sa y est le monde commence a prendre conscience des tites gueguerres cybernétiques qui ont lieu un chaque jour à l’avenir les guerres se passeront aussi sur internet.

    http://www.youtube.com/watch?v=AaXTI1aRCkM

    Posté le 17 janvier 2010 à 09:52:36

  36. Zapping de la semaine #9 | Sur le fil technologique Reply to this comment


    [...] Aurora – L’attaque qui a ciblé Google a utilisé une faille dans Internet Explorer [...]

    Posté le 17 janvier 2010 à 10:58:28

  37. Atika Reply to this comment


    Je me demande pourquoi il ne laisse pas tomber ce navigateur ! Qu’ils arrêtent de le développer !
    Franchement, quand on développe des sites web, ça revient souvent les problèmes de Internet Explorer et Oulook 2007 quant à la création d’emailing !

    Il y en a vraiment ras le bol et c’est pas normal d’avoir à adapter ses programmes pour l’un ou l’autre.

    Posté le 18 janvier 2010 à 01:21:54

  38. citoyenlambda Reply to this comment


    Il semblerait donc que le couple IE + adobe Pdf reader soit le cheval de Troie.

    Personnellement j’utilise foxit reader pour les pdf, je dois dire que j’ai quelques problèmes parfois avec firefox, mais je ne changerais plus.

    La possibilité d’annoter (surligner, sousligner, inserrer des commentaires) j’utilise ça tous les jours pour réviser les bouquins cisco que j’ai en pdf.

    En revanche j’ai gardé adobe avec IE en parachute ventral ;-)

    Voilà mon expérience.

    Posté le 18 janvier 2010 à 10:49:30

  39. bluetouff Reply to this comment


    Ralalalahhh ces hackers chinois je vous jure … à quoi ça sert de les filtrer hein ?

    Posté le 19 janvier 2010 à 00:30:46

  40. shamanvirtuel Reply to this comment


    pour cytoyen lambda, non ce n’est une faille PDF sous IE

    il s’agit d’un server web qui exploite une faille de IE pour uploader et excuter un payload contenant du code malicieux… l’exploit public qui tourne (voir packetstorm ou exploit-db), execute la calculatrice, mais un simple modification du payload par un payload de reverse shell, m’as permis d’utiliser cette faille pour ouvrir une ligne de commande sr lamachine distante … et voila comment google s’est fait rooté

    ahaha

    PS le gouv francais a appellé au boycott en 1er … les suisses aussi …

    ++

    Posté le 19 janvier 2010 à 21:56:06

  41. nasreddine Reply to this comment


    moi j cherche exploiter cette faille,puisque le code est lancé, sauf que je ne connais pas comment s ‘y mettre pour traduire le code-shell en phyton etc….
    y’ a til un ami qui peut m’ aider a l’ exoploit, enfin je vois ds la video qu’il faut mettre LHOST : par l’ip du réseau local , ou de celle de l » internet aussi?Merci de laisser des mots clés ou bien un tutto pour ce « meterpreter/reverce_tCP/ Merci bien, j’ espère ! salammmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmm
    ciaoooooo

    Posté le 20 janvier 2010 à 09:44:37