S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Windows : une faille 0-day et un rootkit bien particulier

Des pilotes malveillants signés RealTek

microsoft windows securiteUne nouvelle faille de type 0-day, donc déjà exploitée au moment où elle est révélée, touche actuellement Windows. Cette brèche est doublement « intéressante », non seulement par ses détails techniques, mais aussi par son exploitation.

La faille de sécurité est considérée comme critique et touche les raccourcis, ou plus exactement la manière dont Windows XP se charge d’afficher les éléments graphiques pour ces raccourcis, via Shell32.dll. Le problème atteint sa plus grande dangerosité avec les clés USB quand l’exécution automatique est activée. Si un fichier lnk (« Link », raccourci) a été spécialement créé pour tirer profit de la faille, la machine va se retrouver infectée.

Malheureusement, désactiver l’exécution automatique ne permet pas de diminuer significativement les risques, car il suffit que le raccourci soit passé en revue par Windows. Dès lors, la faille est exploitable sans la participation de l'utilisateur : aucun mécanisme de sécurité ne peut empêcher le malware qui l'exploite de fonctionner. Et pour cause : il s’agit d’un rootkit qui présente la particularité d’installer deux pilotes signés, mrxnet.sys et mrxcls.sys, dont la mission est entre autres de masquer le rootkit. En clair : si l'utilisateur ouvre un dossier dans lequel se trouve un raccourci spécialement conçu, la brèche est exploitable.

La clé de signature, découverte par VirusBlokAda et analysée actuellement par Sophos, appartient à la société RealTek, celle-là même qui produit des puces pour un très grand nombre de produits. Cela signifie, au mieux, que cette clé a été « volée » d’une manière ou d’une autre, et que son usage a été fortement détourné.


La faille touche toutes les versions de Windows depuis XP (SP3) jusqu’à 7, et donc aussi Windows 2000, Windows XP RTM, SP1 et SP2. À noter également que l’UAC n’intervient pas, ni sous Vista, ni quel que soit son réglage sous Windows 7. Dans la fiche de description de Microsoft, on apprend également que les clés USB ne sont pas les seules concernées : les partages réseaux et WebDAV sont également touchés.

Les solutions proposées en attendant que Microsoft corrige le problème ont des contreparties. On peut par exemple désactiver les icônes pour les raccourcis, mais cela peut entraîner une confusion dans les fichiers pour l’utilisateur. On peut également désactiver le service WebClient, mais cela coupera toute possibilité d’utiliser SharePoint en entreprise.

La solution la plus efficace, dans un milieu professionnel, est de créer une politique de groupe limitant la possibilité de lancer des exécutables au seul disque C, ou à des emplacements précis sur le réseau.

Le prochain lâché de bulletins de sécurité de Microsoft aura lieu le 10 août. Il reste la possibilité que la firme sorte un correctif hors-cycle, ce qui arrive parfois.
 
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 19/07/2010 à 12:16

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 218 commentaires

Avatar de cid_Dileezer_geek INpactien
cid_Dileezer_geek Le lundi 19 juillet 2010 à 12:24:31
Inscrit le lundi 16 mars 09 - 11557 commentaires
Mais, ça joue aussi sur les raccourcis web que l'on a créés soi-même, ou c'est juste sur des raccourcis web comme on en trouve dans certains dossiers téléchargés? merci.
Avatar de atomusk Modérateur
atomusk Le lundi 19 juillet 2010 à 12:26:53
Inscrit le mardi 20 juillet 04 - 21690 commentaires
Selon Slashdot, le certificat a été révoqué vendredi dernier :
http://it.slashdot.org/story/10/07/18/1950210/Microsoft-Has-No-Plans-To-Patch-Ne...

Et il semble que MS ne compte pas corriger la faille
Avatar de SuperM INpactien
SuperM Le lundi 19 juillet 2010 à 12:31:17
Inscrit le lundi 1 décembre 08 - 412 commentaires
C'est n'importe quoi cette vidéo, elle n'explique rien du tout.

C'est comme tout ceux qui font des vidéos sur le hacking, tout est mal expliqué, flou etc...

Beaucoup de blabla, mais rien de concret.

Bref, on dirait vraiment qu'on est tombé sur une bande de très mauvais proffésseurs.
Avatar de windu.2b INpactien
windu.2b Le lundi 19 juillet 2010 à 12:31:30
Inscrit le lundi 18 avril 05 - 34118 commentaires
La clé de signature, découverte par VirusBlokAda et analysée actuellement par Sophos, appartient à la société RealTek, celle-là même qui produit des puces pour un très grand nombre de produits. Cela signifie, au mieux, que cette clé a été « volée » d’une manière ou d’une autre, et que son usage a été fortement détourné.

Rassurez-moi : la société RealTek a prévenu MS de ce vol de clés ?
Avatar de exopci INpactien
exopci Le lundi 19 juillet 2010 à 12:36:03
Inscrit le dimanche 6 décembre 09 - 161 commentaires
Bref, on dirait vraiment qu'on est tombé sur une bande de très mauvais proffésseurs.


Dans ton cas, clairement
Avatar de trash54 INpactien
trash54 Le lundi 19 juillet 2010 à 12:36:33
Inscrit le mardi 13 septembre 05 - 6205 commentaires
Rassurez-moi : la société RealTek a prévenu MS de ce vol de clés ?


ou c'est MS qui vient de prévenir RealTek suite à la découverte de la faille
Avatar de Grunt- INpactien
Grunt- Le lundi 19 juillet 2010 à 12:41:07
Inscrit le dimanche 7 septembre 08 - 3553 commentaires

Tiens, par curiosité: Windows fait comment pour voir que le certificat est révoqué? Ça fait partie des updates?

Et il semble que MS ne compte pas corriger la faille

D'un autre côté, ils n'y sont pour rien si Realtek s'est fait voler sa clef.
Avatar de Dunaedine INpactien
Dunaedine Le lundi 19 juillet 2010 à 12:49:23
Inscrit le samedi 7 janvier 06 - 15989 commentaires
Tiens, par curiosité: Windows fait comment pour voir que le certificat est révoqué? Ça fait partie des updates?
D'un autre côté, ils n'y sont pour rien si Realtek s'est fait voler sa clef.


Heu... Le fait que le simple affichage d'un lien puisse provoquer le lancement d'un exécutif et MS n'y serait pour rien? Désolé mais il y a un problème là.
Avatar de hokkos INpactien
hokkos Le lundi 19 juillet 2010 à 13:03:49
Inscrit le mardi 22 mars 05 - 3451 commentaires
ne permet que de mitiger les risques

Franchement ... abusé cet anglicisme, je propose :atténuer, réduire, minimiser.

Sinon l'antivirus de MS le détecte ?
Avatar de lapinfou INpactien
lapinfou Le lundi 19 juillet 2010 à 13:04:48
Inscrit le mercredi 5 novembre 08 - 260 commentaires
http://www.le-dictionnaire.com/definition.php?mot=mitiger

????
;