Les forums d'AMD piratés à grand coup de faille WMF
Ouvrez-moi, ouvrez-moi !
Les internautes qui ont visité récemment les forums officiels d'AMD ont pu s'en rendre compte, ces derniers étaient lents, et surtout complètement vérolés au fichier WMF malin. Exploitant la faille WMF découverte sous Windows il y a peu, le piratage du forum visait à infecter un maximum d'utilisateurs en peu de temps, jouant sur le fait que tout le monde n'a pas encore installé le patch de Microsoft comblant la faille WMF.
Depuis un certain moment effectivement, de nombreux visiteurs et membres se sont plaints des alertes incessantes de leur antivirus et anti-adware dès lors qu'ils arrivaient dans les forums d'AMD. Ces programmes refusaient l'exécution d'un fichier qu'ils considéraient comme un cheval de Troie, en le mettant d'emblée en quarantaine.
Le fichier en question s'appellait xpladv586.wmf, chargé par un des scripts php externe qu'utilise AMD pour ses forums. Ce wmf était en fait hébergé par un site fameux dans le domaine du spyware, toolbarsdollars.biz.
Depuis la découverte de la faille WMF sous Windows, qui permet d'insérer un code informatique dans une image pour l'exécuter dès l'ouverture du fichier vérolé, de nombreux forums ont été sujets à la même attaque.
Les conseils sont simples. Appliquer la rustine qui convient à Windows dans un premier temps, le patch est directement disponible sur cette page. Un autre moyen est d'activer le système de protection matérielle DEP (Data Execution Prevention), à condition d'avoir un processeur compatible, qui va empêcher l'exécution d'un code dépassant la mémoire tampon utilisable.
Les évènements sont relatés sur le forum d'AMD, dans ce sujet. D'après les dernières informations, le problème est désormais résolu, mais AMD n'explique pas comment leur site à pu être attaqué et percé de la sorte.
Depuis un certain moment effectivement, de nombreux visiteurs et membres se sont plaints des alertes incessantes de leur antivirus et anti-adware dès lors qu'ils arrivaient dans les forums d'AMD. Ces programmes refusaient l'exécution d'un fichier qu'ils considéraient comme un cheval de Troie, en le mettant d'emblée en quarantaine.
Le fichier en question s'appellait xpladv586.wmf, chargé par un des scripts php externe qu'utilise AMD pour ses forums. Ce wmf était en fait hébergé par un site fameux dans le domaine du spyware, toolbarsdollars.biz.
Depuis la découverte de la faille WMF sous Windows, qui permet d'insérer un code informatique dans une image pour l'exécuter dès l'ouverture du fichier vérolé, de nombreux forums ont été sujets à la même attaque.
Les conseils sont simples. Appliquer la rustine qui convient à Windows dans un premier temps, le patch est directement disponible sur cette page. Un autre moyen est d'activer le système de protection matérielle DEP (Data Execution Prevention), à condition d'avoir un processeur compatible, qui va empêcher l'exécution d'un code dépassant la mémoire tampon utilisable.
Les évènements sont relatés sur le forum d'AMD, dans ce sujet. D'après les dernières informations, le problème est désormais résolu, mais AMD n'explique pas comment leur site à pu être attaqué et percé de la sorte.
Bruno Cormier
le 31 janvier 2006 à 10:18
(15 979
lectures)
Actualités et brèves relatives
- 16 / 01 / 2006 : Skype 2.0 contre la protection DEP de Windows XP SP2
- 16 / 01 / 2006 : Microsoft : la faille WMF n'était pas intentionnelle
- 11 / 01 / 2006 : Les mises à jour mensuelles Microsoft sont là
- 10 / 01 / 2006 : Deux nouvelles failles pour le WMF sous Windows
- 06 / 01 / 2006 : Faille du WMF : le correctif officiel est déjà là
- 04 / 01 / 2006 : Microsoft annonce une rustine de la faille du WMF
- 02 / 01 / 2006 : La faille du WMF mêlée à un ver sous MSN
- 30 / 12 / 2005 : La faille du WMF sous Windows ne cesse de faire des victimes
