Windows : une faille 0-day et un rootkit bien particulier

Des pilotes malveillants signés RealTek

Une nouvelle faille de type 0-day, donc déjà exploitée au moment où elle est révélée, touche actuellement Windows. Cette brèche est doublement « intéressante », non seulement par ses détails techniques, mais aussi par son exploitation.

La faille de sécurité est considérée comme critique et touche les raccourcis, ou plus exactement la manière dont Windows XP se charge d’afficher les éléments graphiques pour ces raccourcis, via Shell32.dll. Le problème atteint sa plus grande dangerosité avec les clés USB quand l’exécution automatique est activée. Si un fichier lnk (« Link », raccourci) a été spécialement créé pour tirer profit de la faille, la machine va se retrouver infectée.

Malheureusement, désactiver l’exécution automatique ne permet pas de diminuer significativement les risques, car il suffit que le raccourci soit passé en revue par Windows. Dès lors, la faille est exploitable sans la participation de l'utilisateur : aucun mécanisme de sécurité ne peut empêcher le malware qui l'exploite de fonctionner. Et pour cause : il s’agit d’un rootkit qui présente la particularité d’installer deux pilotes signés, mrxnet.sys et mrxcls.sys, dont la mission est entre autres de masquer le rootkit. En clair : si l'utilisateur ouvre un dossier dans lequel se trouve un raccourci spécialement conçu, la brèche est exploitable.

La clé de signature, découverte par VirusBlokAda et analysée actuellement par Sophos, appartient à la société RealTek, celle-là même qui produit des puces pour un très grand nombre de produits. Cela signifie, au mieux, que cette clé a été « volée » d’une manière ou d’une autre, et que son usage a été fortement détourné.

La faille touche toutes les versions de Windows depuis XP (SP3) jusqu’à 7, et donc aussi Windows 2000, Windows XP RTM, SP1 et SP2. À noter également que l’UAC n’intervient pas, ni sous Vista, ni quel que soit son réglage sous Windows 7. Dans la fiche de description de Microsoft, on apprend également que les clés USB ne sont pas les seules concernées : les partages réseaux et WebDAV sont également touchés.

Les solutions proposées en attendant que Microsoft corrige le problème ont des contreparties. On peut par exemple désactiver les icônes pour les raccourcis, mais cela peut entraîner une confusion dans les fichiers pour l’utilisateur. On peut également désactiver le service WebClient, mais cela coupera toute possibilité d’utiliser SharePoint en entreprise.

La solution la plus efficace, dans un milieu professionnel, est de créer une politique de groupe limitant la possibilité de lancer des exécutables au seul disque C, ou à des emplacements précis sur le réseau.

Le prochain lâché de bulletins de sécurité de Microsoft aura lieu le 10 août. Il reste la possibilité que la firme sorte un correctif hors-cycle, ce qui arrive parfois.

Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Twitter

Le 19 juillet 2010 à 12:16 (31 771 lectures)

Actu Précédente Actu Suivante

Il y a 218 commentaires

Modérateur

atomusk Le lundi 19 juillet 2010 à 16:36:33 #81

Inscrit le mardi 20 juillet 04 - 19854 commentaires

fitfat a écrit :

Il dit qu'il voit pas le rapport.

4, 3, 1 Pasteque .... Je sais c'est un peu décousu, mais moi je vous retranscrit pele mele, aussi

(edit : merci google)

Edité par atomusk le lundi 19 juillet 2010 à 16:38

INpactien

hokkos Le lundi 19 juillet 2010 à 17:00:50 #82

Inscrit le mardi 22 mars 05 - 3445 commentaires

Myaboki a écrit :

Sais-tu que 50% du vocabulaire anglais vient du français...comme ton mitigate d'ailleurs.

Donc pour toi, tu trouves que "mitiger" ça fait : latin -> français -> anglais -> français

Mitiger en francais n'est plus du tout usité dans ce sens, bref ca fait traduction littérale de mitigate, à mes yeux. Alien c'était pour la blague justement

INpactien

hokkos Le lundi 19 juillet 2010 à 17:04:58 #83

Inscrit le mardi 22 mars 05 - 3445 commentaires

link385 a écrit :

ah non eux ils n'ont pas fait une erreur de traduction

ils ont délibérément fait un résumé foireux qui laisse le doute au lecteur comme quoi la faille ne sera pas patchée... ou pas patchée tout de suite. Bref, un article qui laisse libre court à l'imagination, ça s'appelle un appel aux trolls

l'erreur de traduction vient de atomusk qui a levé toute ambiguité dans les propos de slashdot en traduisant son interprétation du résumé ambigu de slashdot. Malheureusement il a traduit la mauvaise interprétation... signe que slashdot arrive à véhiculer un message négatif ("microsoft ne patchera pas cette faille") tout en ne disant pas de mensonge techniquement (puisqu'ils ont précisé "right now" / "pour l'instant")... bref, troller de nos jour c'est tout un art littéraire

Ou l'art de détourner la polémique vers le messager plutôt que le fautif.

Modérateur

atomusk Le lundi 19 juillet 2010 à 17:09:05 #84

Inscrit le mardi 20 juillet 04 - 19854 commentaires

hokkos a écrit :

Ou l'art de détourner la polémique vers le messager plutôt que le fautif.

au final ils ont tranformé :

"On étudie et on fera au mieux pour les utilisateurs
en
"Microsoft ne sortira pas de patch"

Faut avouer quand même que le messager s'est "un peu planté"

INpactien

paradise.lost Le lundi 19 juillet 2010 à 17:14:58 #85

Inscrit le mercredi 20 novembre 02 - 209 commentaires

On résume :

"Il dit qu'il a plus de genou"
"de genou ?"
"ni de culture"
"SURTOUT ... de culture"
"Il dit qu'il voit pas le rapport."
"4, 3, 1 Pasteque .... Je sais c'est un peu décousu, mais moi je vous retranscrit pele mele, aussi"

Merci mais ca m'explique toujours pas le lien avec le genou.
Une âme charitable ou un troll de plus ?