S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Windows : une faille 0-day et un rootkit bien particulier

Des pilotes malveillants signés RealTek

microsoft windows securiteUne nouvelle faille de type 0-day, donc déjà exploitée au moment où elle est révélée, touche actuellement Windows. Cette brèche est doublement « intéressante », non seulement par ses détails techniques, mais aussi par son exploitation.

La faille de sécurité est considérée comme critique et touche les raccourcis, ou plus exactement la manière dont Windows XP se charge d’afficher les éléments graphiques pour ces raccourcis, via Shell32.dll. Le problème atteint sa plus grande dangerosité avec les clés USB quand l’exécution automatique est activée. Si un fichier lnk (« Link », raccourci) a été spécialement créé pour tirer profit de la faille, la machine va se retrouver infectée.

Malheureusement, désactiver l’exécution automatique ne permet pas de diminuer significativement les risques, car il suffit que le raccourci soit passé en revue par Windows. Dès lors, la faille est exploitable sans la participation de l'utilisateur : aucun mécanisme de sécurité ne peut empêcher le malware qui l'exploite de fonctionner. Et pour cause : il s’agit d’un rootkit qui présente la particularité d’installer deux pilotes signés, mrxnet.sys et mrxcls.sys, dont la mission est entre autres de masquer le rootkit. En clair : si l'utilisateur ouvre un dossier dans lequel se trouve un raccourci spécialement conçu, la brèche est exploitable.

La clé de signature, découverte par VirusBlokAda et analysée actuellement par Sophos, appartient à la société RealTek, celle-là même qui produit des puces pour un très grand nombre de produits. Cela signifie, au mieux, que cette clé a été « volée » d’une manière ou d’une autre, et que son usage a été fortement détourné.


La faille touche toutes les versions de Windows depuis XP (SP3) jusqu’à 7, et donc aussi Windows 2000, Windows XP RTM, SP1 et SP2. À noter également que l’UAC n’intervient pas, ni sous Vista, ni quel que soit son réglage sous Windows 7. Dans la fiche de description de Microsoft, on apprend également que les clés USB ne sont pas les seules concernées : les partages réseaux et WebDAV sont également touchés.

Les solutions proposées en attendant que Microsoft corrige le problème ont des contreparties. On peut par exemple désactiver les icônes pour les raccourcis, mais cela peut entraîner une confusion dans les fichiers pour l’utilisateur. On peut également désactiver le service WebClient, mais cela coupera toute possibilité d’utiliser SharePoint en entreprise.

La solution la plus efficace, dans un milieu professionnel, est de créer une politique de groupe limitant la possibilité de lancer des exécutables au seul disque C, ou à des emplacements précis sur le réseau.

Le prochain lâché de bulletins de sécurité de Microsoft aura lieu le 10 août. Il reste la possibilité que la firme sorte un correctif hors-cycle, ce qui arrive parfois.
 
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 19/07/2010 à 12:16

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 218 commentaires

Avatar de paradise INpactien
paradise Le lundi 19 juillet 2010 à 17:31:46
Inscrit le dimanche 10 avril 05 - 14117 commentaires
Un gnou?
Désolé, c'est pas une news linux ici

Sorry, je retourne sur mes lignes de code !
Avatar de Arcy INpactien
Arcy Le lundi 19 juillet 2010 à 17:34:51
Inscrit le mardi 23 juin 09 - 4022 commentaires
Toute façon vu comme elle est maquillé, c'est une horreur.

@paradise.lost
Avatar de paradise.lost INpactien
paradise.lost Le lundi 19 juillet 2010 à 17:43:03
Inscrit le mercredi 20 novembre 02 - 227 commentaires
Bon on s'éloigne du sujet là
Avatar de gokudomatic INpactien
gokudomatic Le lundi 19 juillet 2010 à 17:45:33
Inscrit le mercredi 15 décembre 04 - 12304 commentaires
Un gnou?
Désolé, c'est pas une news linux ici

les gnous prennent toujours un whisky d'abords.
Avatar de gokudomatic INpactien
gokudomatic Le lundi 19 juillet 2010 à 17:45:56
Inscrit le mercredi 15 décembre 04 - 12304 commentaires
Bon on s'éloigne du sujet là

quel sujet?
Avatar de paradise INpactien
paradise Le lundi 19 juillet 2010 à 17:52:29
Inscrit le dimanche 10 avril 05 - 14117 commentaires
Avatar de link385 INpactien
link385 Le lundi 19 juillet 2010 à 18:21:17
Inscrit le lundi 12 mai 03 - 3178 commentaires

Je mélange rien du tout, il me semblait qu'avec la clé de signature il le fessait passer pour un exécutable RealTek 'valide' et pouvait le lancer en mode proche du kernel, quelque soit l'utilisateur.
Mais si tu as déjà testé...



sous XP, sans signature numérique, un message d'avertissement disant que c dangereux d'installer un driver non signé apparait et laisse le choix à l'utilisateur de continuer

depuis windows vista x64, l'utilisateur ne peut plus ignorer cet avertissement, le pilote doit obligatoirement etre signé pour s'installer, ce qui limite les risques de rootkit, sachant que les signatures numériques utilisées par des malwares peuvent etre desactivées par verisign à distance et dans un délai très court.

(sous linux en comparaison, du moment que tu as les droits root, tu peux installer un rootkit sans soucis, sans avoir besoin d'une signature numérique.)

dans les deux cas, il n'y a pas d'élévation des privileges automatique. Il n'y a que lorsque le driver provient de windows update que windows est capable de l'installer sans droits administrateur (et à condition que ce driver ne nécessite pas d'afficher une interface graphique lors d'une phase de son installation)
Avatar de saga9 INpactien
saga9 Le lundi 19 juillet 2010 à 18:33:40
Inscrit le samedi 10 septembre 05 - 1268 commentaires
sous linux en comparaison, du moment que tu as les droits root, tu peux installer un rootkit sans soucis, sans avoir besoin d'une signature numérique.

Comme pour tout logiciel (je devrais dire paquet), les drivers (libres et non libres) sont disponibles sur les dépôts et sont signés numériquement.


Edité par saga9 le lundi 19 juillet 2010 à 18:35
Avatar de Winderly INpactien
Winderly Le lundi 19 juillet 2010 à 18:41:02
Inscrit le vendredi 19 mai 06 - 7546 commentaires

"Right now" veux bien dire "maintenant", mais "has no plans to patch the flaw right now", pour moi semble se traduire mieux par "n'a pas prévu pour le moment de proposer un patch".

Maintenant je ne trouve pas la source exacte qui pourrait être plus claire, mais pour moi ils auraient préférés mettre : ne prévois pas de sortir un patch en dehors du cycle de patch thursday.

Mais je suis d'accord que j'interprette peut être beaucoup

pour ta version ce serait plutôt
has no plans yet to patch the flaw
Avatar de frikakwa INpactien
frikakwa Le lundi 19 juillet 2010 à 18:49:19
Inscrit le vendredi 16 mai 08 - 5128 commentaires
pour ta version ce serait plutôt
has no plans yet to patch the flaw

Sa traduction est correcte! Il utilise l'équivalent en français de "en ce moment" quand tu lui proposes d'utiliser "déjà/encore"!

Atomusk
Winderly
;