Windows : une faille 0-day et un rootkit bien particulier
Des pilotes malveillants signés RealTek
Une nouvelle faille de type 0-day, donc déjà exploitée au moment où elle est révélée, touche actuellement Windows. Cette brèche est doublement « intéressante », non seulement par ses détails techniques, mais aussi par son exploitation. La faille de sécurité est considérée comme critique et touche les raccourcis, ou plus exactement la manière dont Windows XP se charge d’afficher les éléments graphiques pour ces raccourcis, via Shell32.dll. Le problème atteint sa plus grande dangerosité avec les clés USB quand l’exécution automatique est activée. Si un fichier lnk (« Link », raccourci) a été spécialement créé pour tirer profit de la faille, la machine va se retrouver infectée.
Malheureusement, désactiver l’exécution automatique ne permet pas de diminuer significativement les risques, car il suffit que le raccourci soit passé en revue par Windows. Dès lors, la faille est exploitable sans la participation de l'utilisateur : aucun mécanisme de sécurité ne peut empêcher le malware qui l'exploite de fonctionner. Et pour cause : il s’agit d’un rootkit qui présente la particularité d’installer deux pilotes signés, mrxnet.sys et mrxcls.sys, dont la mission est entre autres de masquer le rootkit. En clair : si l'utilisateur ouvre un dossier dans lequel se trouve un raccourci spécialement conçu, la brèche est exploitable.
La clé de signature, découverte par VirusBlokAda et analysée actuellement par Sophos, appartient à la société RealTek, celle-là même qui produit des puces pour un très grand nombre de produits. Cela signifie, au mieux, que cette clé a été « volée » d’une manière ou d’une autre, et que son usage a été fortement détourné.
La faille touche toutes les versions de Windows depuis XP (SP3) jusqu’à 7, et donc aussi Windows 2000, Windows XP RTM, SP1 et SP2. À noter également que l’UAC n’intervient pas, ni sous Vista, ni quel que soit son réglage sous Windows 7. Dans la fiche de description de Microsoft, on apprend également que les clés USB ne sont pas les seules concernées : les partages réseaux et WebDAV sont également touchés.
Les solutions proposées en attendant que Microsoft corrige le problème ont des contreparties. On peut par exemple désactiver les icônes pour les raccourcis, mais cela peut entraîner une confusion dans les fichiers pour l’utilisateur. On peut également désactiver le service WebClient, mais cela coupera toute possibilité d’utiliser SharePoint en entreprise.
La solution la plus efficace, dans un milieu professionnel, est de créer une politique de groupe limitant la possibilité de lancer des exécutables au seul disque C, ou à des emplacements précis sur le réseau.
Le prochain lâché de bulletins de sécurité de Microsoft aura lieu le 10 août. Il reste la possibilité que la firme sorte un correctif hors-cycle, ce qui arrive parfois.
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 19 juillet 2010 à 12:16
(31 770
lectures)
Il y a 218 commentaires
INpactien
CaptainDangeax
Le lundi 19 juillet 2010 à 20:29:18
#111
Inscrit
le mercredi 7 juin 06
-
2884
commentaires
J'ai souvent posté ici que la sécurité de Windows n'est qu'un emplâtre sur une jambe de bois, tant que le système considère chaque fichier comme exécutable par défaut. Aujourd'hui, les faits me donnent raison, puisqu'il suffit d'ouvrir un dossier pour installer le rootkit. Et l'UAC n'y peut rien.
La sécurité c'est simple. On commence par avoir une vraie séparation des droits admins et utilisateurs (pas une bête surcouche contournable), puis on continue en ne considérant comme exécutable que ce qui l'est vraiment, dans le path et uniquement dans le path, à l'exclusion de tout le reste. Pas d'UAC, pas d'antivirus. ça existe ! Une sécurité par certification, ce n'est qu'une pompe à fric, mais ça ne protège pas l'utilisateur, parce qu'un certificat, ça se vole...
La sécurité c'est simple. On commence par avoir une vraie séparation des droits admins et utilisateurs (pas une bête surcouche contournable), puis on continue en ne considérant comme exécutable que ce qui l'est vraiment, dans le path et uniquement dans le path, à l'exclusion de tout le reste. Pas d'UAC, pas d'antivirus. ça existe ! Une sécurité par certification, ce n'est qu'une pompe à fric, mais ça ne protège pas l'utilisateur, parce qu'un certificat, ça se vole...
INpactien
décidément les traductions google c'est bien merdique
INpactien
"Right now" pourra se traduire "dans l'immédiat".
Donc, Microsoft n'a pas prévu de patch dans l'immédiat.
Ça met d'accord tout le monde ou on continue le HS ?
Donc, Microsoft n'a pas prévu de patch dans l'immédiat.
Ça met d'accord tout le monde ou on continue le HS ?
je suis d'accord
INpactien
charon.G
Le lundi 19 juillet 2010 à 20:48:59
#114
Inscrit
le vendredi 29 avril 05
-
6361
commentaires
J'ai souvent posté ici que la sécurité de Windows n'est qu'un emplâtre sur une jambe de bois, tant que le système considère chaque fichier comme exécutable par défaut. Aujourd'hui, les faits me donnent raison, puisqu'il suffit d'ouvrir un dossier pour installer le rootkit. Et l'UAC n'y peut rien.
La sécurité c'est simple. On commence par avoir une vraie séparation des droits admins et utilisateurs (pas une bête surcouche contournable), puis on continue en ne considérant comme exécutable que ce qui l'est vraiment, dans le path et uniquement dans le path, à l'exclusion de tout le reste. Pas d'UAC, pas d'antivirus. ça existe ! Une sécurité par certification, ce n'est qu'une pompe à fric, mais ça ne protège pas l'utilisateur, parce qu'un certificat, ça se vole...
La sécurité c'est simple. On commence par avoir une vraie séparation des droits admins et utilisateurs (pas une bête surcouche contournable), puis on continue en ne considérant comme exécutable que ce qui l'est vraiment, dans le path et uniquement dans le path, à l'exclusion de tout le reste. Pas d'UAC, pas d'antivirus. ça existe ! Une sécurité par certification, ce n'est qu'une pompe à fric, mais ça ne protège pas l'utilisateur, parce qu'un certificat, ça se vole...
T'as pas tout compris toi. La faille du shell en elle même ne permet pas d'avoir les droits admins.
Ensuite pour installer un driver quelque soit le windows il faut les droits admins.
INpactien
CaptainDangeax
Le lundi 19 juillet 2010 à 20:55:52
#115
Inscrit
le mercredi 7 juin 06
-
2884
commentaires
T'as pas tout compris toi. La faille du shell en elle même ne permet pas d'avoir les droits admins.
Ensuite pour installer un driver quelque soit le windows il faut les droits admins.
Ensuite pour installer un driver quelque soit le windows il faut les droits admins.
relis mon post, et relis le tiens, et tu verras que tu es hors-sujet.
[citation]
La solution la plus efficace, dans un milieu professionnel, est de créer une politique de groupe limitant la possibilité de lancer des exécutables au seul disque C, ou à des emplacements précis sur le réseau.
[/citation]
C'est exactement la même chose que ce que j'écris quand je j'écris que sur le windows de base, tout est exécutable par défaut, et que la faille originelle est là ! Tout le reste n'est que surcouche...
INpactien
.....
C'est exactement la même chose que ce que j'écris quand je j'écris que sur le windows de base, tout est exécutable par défaut, et que la faille originelle est là ! Tout le reste n'est que surcouche...
C'est exactement la même chose que ce que j'écris quand je j'écris que sur le windows de base, tout est exécutable par défaut, et que la faille originelle est là ! Tout le reste n'est que surcouche...
Rooohhhh un lundi déjà tu balance ça
INpactien
CaptainDangeax
Le lundi 19 juillet 2010 à 21:13:29
#117
Inscrit
le mercredi 7 juin 06
-
2884
commentaires
Rooohhhh un lundi déjà tu balance ça
Ah bon ? On m'aurait menti à l'insu de mon plein gré ? sur un windows installé de frais, si je copie un .EXE n'importe ou et que je clique dessus, il ne se lance pas ?
INpactien
charon.G
Le lundi 19 juillet 2010 à 21:16:23
#118
Inscrit
le vendredi 29 avril 05
-
6361
commentaires
La video est trompeuse.
Voir ici comment 92.
En fait si les droits administrateurs ne sont pas disponibles le rootkit passe en rootkit user. Il ne peut donc pas installer les drivers. La portée de l'attaque se limite au compte user.
Edité par charon.G le lundi 19 juillet 2010 à 21:16
Voir ici comment 92.
En fait si les droits administrateurs ne sont pas disponibles le rootkit passe en rootkit user. Il ne peut donc pas installer les drivers. La portée de l'attaque se limite au compte user.
Edité par charon.G le lundi 19 juillet 2010 à 21:16
INpactien
saga9
Le lundi 19 juillet 2010 à 21:23:40
#119
Inscrit
le samedi 10 septembre 05
-
1268
commentaires
mais ce n'est pas une obligation, et donc un malware peut installer un rootkit sans soucis si l'utilisateur execute une appli en mode root (warez téléchargé depuis un site inconnu...)
Tu reconnaîtras donc que les drivers sont effectivement signés contrairement à ce que tu affirmais.
A partir du moment où tu installes un driver depuis un dépôt officiel, la signature te garantit l'origine du paquet et en l’occurrence du driver c'est à dire qu'il provient bien des dépôts officiels.
L'autre solution pour installer un driver est de récupérer les sources du dit driver et de le compiler soi-même.
Tout d'abord, cela est hors de la portée de tout néophyte et même de tout utilisateur lambda non familier avec la ligne de commande et a fortiori avec la compilation sous Linux.
De plus, dans ce cas, on récupérera le code source sur le site du constructeur et non sur un site "warez" : ce qui serait absurde vu que'il s'agit de driver.
On peut donc considérer que la personne qui procède par une compilation ira récupérer les sources depuis le site du constructeur... dans la mesure ou ceux-ci sont disponibles ce qui, il faut le reconnaître, est loin d'être le cas. En effet, la très grande partie des drivers disponibles sous Linux sont des drivers libres c'est à dire des drivers présents dans les dépôt officiels.
Donc, dans la pratique, installer un rootkit depuis un driver est impossible sous Linux.
Enfin, je tenais à dire que le système de signature imposé pour Windows 7 est à saluer.
INpactien
saga9
Le lundi 19 juillet 2010 à 21:35:22
#120
Inscrit
le samedi 10 septembre 05
-
1268
commentaires
Tu peux très bien installer une application qui installerait un module du noyau du linux. Je crois bien que les rootkits sont arrivés en premier sur Unix. Donc ça existe...
Les rootkits comme les virus et autres joyeusetés, bien entendu existent sous Linux.
Toutefois, le système des dépôts te garantit l'origine mais aussi l'intégrité des applications.
Ainsi, il est pratiquement impossible d'installer un rootkit à partir des applications des dépôts officiels.
Ce système de dépôt peut être considéré comme l'équivalent du système de signature mis en place pour Vista et 7.
Sur Windows Vista/7 64, c'est beaucoup plus difficile vu que la signature numérique est obligatoire.
Et c'est une très bonne chose.
Dommage que cela ne puisse s'étendre à toute installation (driver ou autre).
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
The Pirate Bay hors service depuis plusieurs heures
(2)
Le bateau coule ? -
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!!
-
Une alimentation modulaire Enermax Naxn de 750 W pour 99,90 €
Valable jusqu'au 26 mai -
Une souris filaire Razer Deathadder 2013 pour 46,69 €
Valable jusqu'au 26 mai -
Un moniteur LED Viewsonic de 27 pouces avec 2 HDMI : 191,90 €
Valable jusqu'au 26 mai -
Un boîtier Antec Lanboy Air bleu pour 79,99 €
Valable jusqu'au 26 mai
