S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Windows : une faille 0-day et un rootkit bien particulier

Des pilotes malveillants signés RealTek

microsoft windows securiteUne nouvelle faille de type 0-day, donc déjà exploitée au moment où elle est révélée, touche actuellement Windows. Cette brèche est doublement « intéressante », non seulement par ses détails techniques, mais aussi par son exploitation.

La faille de sécurité est considérée comme critique et touche les raccourcis, ou plus exactement la manière dont Windows XP se charge d’afficher les éléments graphiques pour ces raccourcis, via Shell32.dll. Le problème atteint sa plus grande dangerosité avec les clés USB quand l’exécution automatique est activée. Si un fichier lnk (« Link », raccourci) a été spécialement créé pour tirer profit de la faille, la machine va se retrouver infectée.

Malheureusement, désactiver l’exécution automatique ne permet pas de diminuer significativement les risques, car il suffit que le raccourci soit passé en revue par Windows. Dès lors, la faille est exploitable sans la participation de l'utilisateur : aucun mécanisme de sécurité ne peut empêcher le malware qui l'exploite de fonctionner. Et pour cause : il s’agit d’un rootkit qui présente la particularité d’installer deux pilotes signés, mrxnet.sys et mrxcls.sys, dont la mission est entre autres de masquer le rootkit. En clair : si l'utilisateur ouvre un dossier dans lequel se trouve un raccourci spécialement conçu, la brèche est exploitable.

La clé de signature, découverte par VirusBlokAda et analysée actuellement par Sophos, appartient à la société RealTek, celle-là même qui produit des puces pour un très grand nombre de produits. Cela signifie, au mieux, que cette clé a été « volée » d’une manière ou d’une autre, et que son usage a été fortement détourné.


La faille touche toutes les versions de Windows depuis XP (SP3) jusqu’à 7, et donc aussi Windows 2000, Windows XP RTM, SP1 et SP2. À noter également que l’UAC n’intervient pas, ni sous Vista, ni quel que soit son réglage sous Windows 7. Dans la fiche de description de Microsoft, on apprend également que les clés USB ne sont pas les seules concernées : les partages réseaux et WebDAV sont également touchés.

Les solutions proposées en attendant que Microsoft corrige le problème ont des contreparties. On peut par exemple désactiver les icônes pour les raccourcis, mais cela peut entraîner une confusion dans les fichiers pour l’utilisateur. On peut également désactiver le service WebClient, mais cela coupera toute possibilité d’utiliser SharePoint en entreprise.

La solution la plus efficace, dans un milieu professionnel, est de créer une politique de groupe limitant la possibilité de lancer des exécutables au seul disque C, ou à des emplacements précis sur le réseau.

Le prochain lâché de bulletins de sécurité de Microsoft aura lieu le 10 août. Il reste la possibilité que la firme sorte un correctif hors-cycle, ce qui arrive parfois.
 
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 19/07/2010 à 12:16

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 218 commentaires

Avatar de fitfat INpactien
fitfat Le lundi 19 juillet 2010 à 13:55:11
Inscrit le lundi 19 juin 06 - 1678 commentaires

Heu... Le fait que le simple affichage d'un lien puisse provoquer le lancement d'un exécutif et MS n'y serait pour rien? Désolé mais il y a un problème là.

C'est pas ce que dit la news. Mais y a bien à problème à régler coté Microsoft.

Edité par fitfat le lundi 19 juillet 2010 à 13:55
Avatar de link385 INpactien
link385 Le lundi 19 juillet 2010 à 14:03:44
Inscrit le lundi 12 mai 03 - 3178 commentaires
Selon Slashdot, le certificat a été révoqué vendredi dernier :
http://it.slashdot.org/story/10/07/18/1950210/Microsoft-Has-No-Plans-To-Patch-Ne...

Et il semble que MS ne compte pas corriger la faille


"'Microsoft has acknowledged the vulnerability that the new malware Stuxnet uses to launch itself with .lnk files, but said it has no plans to patch the flaw right now"

right now = maintenant tout de suite

ça veut dire que microsoft ne sortira pas de patch en dehors de son patch tuesday

ça ne veut pas dire que microsoft ne sortira pas de patch!

à ton erreur de traduction!
Avatar de frikakwa INpactien
frikakwa Le lundi 19 juillet 2010 à 14:17:32
Inscrit le vendredi 16 mai 08 - 5127 commentaires
Salut,
quelqu'un saurait comment désactiver les icônes pour les raccourcis sous XP?
Merci

Le plus simple, si tu es parano, en attendant le correctif de MS est de laisser tout en l'état et de ne pas cliquer sur tes raccourcis!

Edité par frikakwa le lundi 19 juillet 2010 à 14:17
Avatar de atomusk Modérateur
atomusk Le lundi 19 juillet 2010 à 14:18:55
Inscrit le mardi 20 juillet 04 - 21689 commentaires

"'Microsoft has acknowledged the vulnerability that the new malware Stuxnet uses to launch itself with .lnk files, but said it has no plans to patch the flaw right now"

right now = maintenant tout de suite

ça veut dire que microsoft ne sortira pas de patch en dehors de son patch tuesday

ça ne veut pas dire que microsoft ne sortira pas de patch!

à ton erreur de traduction!


"Right now" veux bien dire "maintenant", mais "has no plans to patch the flaw right now", pour moi semble se traduire mieux par "n'a pas prévu pour le moment de proposer un patch".

Maintenant je ne trouve pas la source exacte qui pourrait être plus claire, mais pour moi ils auraient préférés mettre : ne prévois pas de sortir un patch en dehors du cycle de patch thursday.

Mais je suis d'accord que j'interprette peut être beaucoup
Avatar de link385 INpactien
link385 Le lundi 19 juillet 2010 à 14:22:27
Inscrit le lundi 12 mai 03 - 3178 commentaires
Via les certificats de sécurités qu'on télécharge à chaque mise à jour du système ?


non ce serait un peu loin une fois par mois!
et puis il n'y a pas de maj des certificats racines chaque mois.

en fait lorsqu'une application utilise CryptoAPI et demande une verification d'un certificat, windows utilise la liste de révocation cachée localement pour vérifier si le certificat est révoqué. Si la liste est trop ancienne (environ 1 jour), elle est mise à jour depuis l'url spécifiée à cet effet dans le certificat racine (donc par exemple une url qui va pointer sur un serveur de verisign). Donc à priori les révocations sont propagées assez rapidement.
Avatar de link385 INpactien
link385 Le lundi 19 juillet 2010 à 14:28:30
Inscrit le lundi 12 mai 03 - 3178 commentaires

"Right now" veux bien dire "maintenant", mais "has no plans to patch the flaw right now", pour moi semble se traduire mieux par "n'a pas prévu pour le moment de proposer un patch".

Maintenant je ne trouve pas la source exacte qui pourrait être plus claire, mais pour moi ils auraient préférés mettre : ne prévois pas de sortir un patch en dehors du cycle de patch thursday.

Mais je suis d'accord que j'interprette peut être beaucoup


c'est slashdot qui a écrit cette phrase, et il ne faut pas oublier que l'excitation de troll, c'est leur business!

donc ils ont interet à faire des phrases pas claires pour laisser le doute. d'ailleurs tu vois ça marche, tu n'aurais probablement pas mis un lien vers leur site s'ils avaient dit clairement que ce ne serait pas patché en dehors du patch tuesday (et donc que ce bel et bien patché lors d'un patch tuesday). Mais là le fait qu'ils sous entendent que ce ne sera jamais patché (mais bien sûr!) donne une dimension "spectaculaire" à leur article (eh oui le FUD ça rapporte des visiteurs).
Avatar de Latios INpactien
Latios Le lundi 19 juillet 2010 à 14:33:18
Inscrit le mardi 18 janvier 05 - 820 commentaires
La faille touche toutes les versions de Windows depuis XP (SP3) jusqu’à 7, et donc aussi Windows 2000, Windows XP RTM, SP1 et SP2.

Vista* j'imagine :)
Et je ne vois pas Windows 2000 sur la page de Microsoft. Peut-être parce que le support étendu est terminé, comme pour XP SP0/1/2 (qui est peut-être touché aussi) ?
Avatar de saga9 INpactien
saga9 Le lundi 19 juillet 2010 à 14:33:30
Inscrit le samedi 10 septembre 05 - 1268 commentaires

c'est slashdot qui a écrit cette phrase, et il ne faut pas oublier que l'excitation de troll, c'est leur business!

donc ils ont interet à faire des phrases pas claires pour laisser le doute. d'ailleurs tu vois ça marche, tu n'aurais probablement pas mis un lien vers leur site s'ils avaient dit clairement que ce ne serait pas patché en dehors du patch tuesday (et donc que ce bel et bien patché lors d'un patch tuesday). Mais là le fait qu'ils sous entendent que ce ne sera jamais patché (mais bien sûr!) donne une dimension "spectaculaire" à leur article (eh oui le FUD ça rapporte des visiteurs).

Ou comment mettre sur le dos de slashdot la responsabilité d'une mauvaise traduction... et le plus drôle c'est que ton intervention avait pour but de corriger une erreur de ... traduction !
Avatar de griffondor INpactien
griffondor Le lundi 19 juillet 2010 à 14:33:42
Inscrit le dimanche 14 juin 09 - 190 commentaires
intérressant comme virus, je suis entrain de lancer une analyse viral pour voir et je vais vérifier que tout est ok au niveau mise à jour et tout, si cela ne suffit pas, faudra attendre que microsoft mette des correctifs.

en plus je crain que lorsque tout seras cloud, les virus seront ausi cloud, donc faudra que les anti virus soit cloud aussi, c une guerre sans fin entre les hackers noir et les gens de la sécurité informatique, en gros pour montrer celui qui est le plus fort, quand une faille est refermer, une autre est ouverte, le jour où sa seras cloud sa seras pire.
Avatar de Myaboki INpactien
Myaboki Le lundi 19 juillet 2010 à 14:37:51
Inscrit le vendredi 11 avril 08 - 246 commentaires

Ouai mais ca ce sent que c'est traduit de mitigate, en francais ca fait alien.


Sais-tu que 50% du vocabulaire anglais vient du français...comme ton mitigate d'ailleurs.
Donc pour toi, tu trouves que "mitiger" ça fait : latin -> français -> anglais -> français

Edité par Myaboki le lundi 19 juillet 2010 à 14:38
;