S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Windows : une faille 0-day et un rootkit bien particulier

Des pilotes malveillants signés RealTek

microsoft windows securiteUne nouvelle faille de type 0-day, donc déjà exploitée au moment où elle est révélée, touche actuellement Windows. Cette brèche est doublement « intéressante », non seulement par ses détails techniques, mais aussi par son exploitation.

La faille de sécurité est considérée comme critique et touche les raccourcis, ou plus exactement la manière dont Windows XP se charge d’afficher les éléments graphiques pour ces raccourcis, via Shell32.dll. Le problème atteint sa plus grande dangerosité avec les clés USB quand l’exécution automatique est activée. Si un fichier lnk (« Link », raccourci) a été spécialement créé pour tirer profit de la faille, la machine va se retrouver infectée.

Malheureusement, désactiver l’exécution automatique ne permet pas de diminuer significativement les risques, car il suffit que le raccourci soit passé en revue par Windows. Dès lors, la faille est exploitable sans la participation de l'utilisateur : aucun mécanisme de sécurité ne peut empêcher le malware qui l'exploite de fonctionner. Et pour cause : il s’agit d’un rootkit qui présente la particularité d’installer deux pilotes signés, mrxnet.sys et mrxcls.sys, dont la mission est entre autres de masquer le rootkit. En clair : si l'utilisateur ouvre un dossier dans lequel se trouve un raccourci spécialement conçu, la brèche est exploitable.

La clé de signature, découverte par VirusBlokAda et analysée actuellement par Sophos, appartient à la société RealTek, celle-là même qui produit des puces pour un très grand nombre de produits. Cela signifie, au mieux, que cette clé a été « volée » d’une manière ou d’une autre, et que son usage a été fortement détourné.


La faille touche toutes les versions de Windows depuis XP (SP3) jusqu’à 7, et donc aussi Windows 2000, Windows XP RTM, SP1 et SP2. À noter également que l’UAC n’intervient pas, ni sous Vista, ni quel que soit son réglage sous Windows 7. Dans la fiche de description de Microsoft, on apprend également que les clés USB ne sont pas les seules concernées : les partages réseaux et WebDAV sont également touchés.

Les solutions proposées en attendant que Microsoft corrige le problème ont des contreparties. On peut par exemple désactiver les icônes pour les raccourcis, mais cela peut entraîner une confusion dans les fichiers pour l’utilisateur. On peut également désactiver le service WebClient, mais cela coupera toute possibilité d’utiliser SharePoint en entreprise.

La solution la plus efficace, dans un milieu professionnel, est de créer une politique de groupe limitant la possibilité de lancer des exécutables au seul disque C, ou à des emplacements précis sur le réseau.

Le prochain lâché de bulletins de sécurité de Microsoft aura lieu le 10 août. Il reste la possibilité que la firme sorte un correctif hors-cycle, ce qui arrive parfois.
 
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 19/07/2010 à 12:16

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 218 commentaires

Avatar de charon.G INpactien
charon.G Le lundi 19 juillet 2010 à 21:36:31
Inscrit le vendredi 29 avril 05 - 7344 commentaires
Tu reconnaîtras donc que les drivers sont effectivement signés contrairement à ce que tu affirmais.
A partir du moment où tu installes un driver depuis un dépôt officiel, la signature te garantit l'origine du paquet et en l’occurrence du driver c'est à dire qu'il provient bien des dépôts officiels.
L'autre solution pour installer un driver est de récupérer les sources du dit driver et de le compiler soi-même.
Tout d'abord, cela est hors de la portée de tout néophyte et même de tout utilisateur lambda non familier avec la ligne de commande et a fortiori avec la compilation sous Linux.
De plus, dans ce cas, on récupérera le code source sur le site du constructeur et non sur un site "warez" : ce qui serait absurde vu que'il s'agit de driver.
On peut donc considérer que la personne qui procède par une compilation ira récupérer les sources depuis le site du constructeur... dans la mesure ou ceux-ci sont disponibles ce qui, il faut le reconnaître, est loin d'être le cas. En effet, la très grande partie des drivers disponibles sous Linux sont des drivers libres c'est à dire des drivers présents dans les dépôt officiels.

Donc, dans la pratique, installer un rootkit depuis un driver est impossible sous Linux.

Enfin, je tenais à dire que le système de signature imposé pour Windows 7 est à saluer.

commentaire 106 tu n'as pas tout saisi je pense.

Les modules de noyaux linux ce ne sont pas forcement des drivers de matos. C'est juste un composant qui s'execute dans l'espace noyau et donc possède les privilèges maximum.

Les rootkits ce sont des petits programmes que tu peux cacher dans des installeurs ou exécuter par une faille qui possède les droits admins.

Windows Vista/7 64 bits n'autorise pas le chargement de drivers non signés. Donc à moins qu'une clé soit compromise(dans ce cas le certificat est révoqué ce qui s'est produit) il est extremement difficile d'installer un rootkit(kernel mode) sur ces systèmes.

Linux tu peux signer des applications ou des drivers. Mais le noyau Linux autorise le chargement de modules non signés. Donc que le driver soit signé ou pas on s'en fout. Un rootkit peut très bien charger son petit driver.
Avatar de charon.G INpactien
charon.G Le lundi 19 juillet 2010 à 21:41:57
Inscrit le vendredi 29 avril 05 - 7344 commentaires
Les rootkits comme les virus et autres joyeusetés, bien entendu existent sous Linux.
Toutefois, le système des dépôts te garantit l'origine mais aussi l'intégrité des applications.
Ainsi, il est pratiquement impossible d'installer un rootkit à partir des applications des dépôts officiels.
Ce système de dépôt peut être considéré comme l'équivalent du système de signature mis en place pour Vista et 7.

Et c'est une très bonne chose.
Dommage que cela ne puisse s'étendre à toute installation (driver ou autre).

Le système de dépots n'est pas la solution ultime. car il n'est pas l'unique point d'entrée. Il y a des gens qui installent des applications Linux par d'autres moyens. Pour le rootkit il peut aussi s'installer par une faille dans un processus système avec les droits admins.
Microsoft propose plusieurs couches de protection à différents niveaux du système. La signature des drivers 64 bits en est une.
Avatar de saga9 INpactien
saga9 Le lundi 19 juillet 2010 à 22:15:50
Inscrit le samedi 10 septembre 05 - 1268 commentaires
commentaire 106 tu n'as pas tout saisi je pense.

Les modules de noyaux linux ce ne sont pas forcement des drivers de matos. C'est juste un composant qui s'execute dans l'espace noyau et donc possède les privilèges maximum.

Les rootkits ce sont des petits programmes que tu peux cacher dans des installeurs ou exécuter par une faille qui possède les droits admins.

Windows Vista/7 64 bits n'autorise pas le chargement de drivers non signés. Donc à moins qu'une clé soit compromise(dans ce cas le certificat est révoqué ce qui s'est produit) il est extremement difficile d'installer un rootkit(kernel mode) sur ces systèmes.

Linux tu peux signer des applications ou des drivers. Mais le noyau Linux autorise le chargement de modules non signés. Donc que le driver soit signé ou pas on s'en fout. Un rootkit peut très bien charger son petit driver.

La signature te garantit l'intégrité et l'origine de l'application. Pour installer, une application rootkitée, il te faut donc donner ta confiance au dépôt incriminé.
Si dans la théorie cela est indiscutable, dans la pratique cela ne se vérifie pas surtout pour l'utilisateur lambda :
- les dépôts officiels sont suffisamment fournis et parfois même intègrent les dépôts tiers dignes de confiance comme par exemple Ubuntu
- la plupart des distrib propose de rajouter des dépôts tiers depuis une liste blanche comme OpenSuse ou Mandriva.
Evidemment, il ne faut pas éluder le risque d'une intrusion sur une dépôt tiers. Or jusqu'à présent, il ne me semble pas qu'une quelconque distribution n'ait souffert de ce risque.

Le système de dépots n'est pas la solution ultime. car il n'est pas l'unique point d'entrée. Il y a des gens qui installent des applications Linux par d'autres moyens. Pour le rootkit il peut aussi s'installer par une faille dans un processus système avec les droits admins.
Microsoft propose plusieurs couches de protection à différents niveaux du système. La signature des drivers 64 bits en est une.

Idem
Avatar de Grunt- INpactien
Grunt- Le lundi 19 juillet 2010 à 23:12:49
Inscrit le dimanche 7 septembre 08 - 3553 commentaires
Le système de dépots n'est pas la solution ultime. car il n'est pas l'unique point d'entrée. Il y a des gens qui installent des applications Linux par d'autres moyens.

C'est une solution ultime si les gens, justement, n'installent pas n'importe quoi venant de n'importe où..

Y'a toujours un moment où l'utilisateur motivé peut foutre en l'air son système, surtout sous Linux et surtout s'il a le mot de passe admin. On ne peut rien faire contre ça: sous Windows l'utilisateur peut décider d'installer un driver non signé, sous Linux il peut installer un truc venant en dehors des dépôt. La règle étant "Il ne faut pas le faire, sauf si on sait exactement ce qu'on fait." Point.

Pour le rootkit il peut aussi s'installer par une faille dans un processus système avec les droits admins.
Microsoft propose plusieurs couches de protection à différents niveaux du système. La signature des drivers 64 bits en est une.

Là où la sécurité sous Linux est, me semble-t-il, bien plus basée sur les compétences de l'administrateur. Ceci dit, avec "madame Michu devient admin de son Ubuntu sans savoir ce qu'est un noyau", il faudra peut-être que certaines distros Linux adoptent la méthode Microsoft, c'est à dire ceintures + bretelles + boîte de dialogue qui crie.
Avatar de link385 INpactien
link385 Le mardi 20 juillet 2010 à 00:19:46
Inscrit le lundi 12 mai 03 - 3178 commentaires
Le truc c'est qu'en général les drivers sont fournit par ta distribution. Et donc le fait d'aller chercher ses drivers sur un site de "warez" (?) ne se fait pour ainsi presque jamais.


abus de language, par driver je voulais dire module noyau (vu que sous windows l'ajout de fonctionnalités tournant au niveau noyau passe par un driver)

je ne voulais pas dire que l'utilisateur allait chercher les drivers de sa carte graphique sur un site warez, mais qu'il allait télécharger un jeu vérolé sur un site warez, qui lui va installer un rootkit sous forme de module noyau, et ce, sans avoir besoin d'une quelconque signature numérique.

donc meme si ce n'est pas la panacée, la signature numérique permet de réduire les risques en ne laissant pas n'importe quel programme atteindre le noyau (et devenir ainsi ce qu'on appelle un rootkit, en masquant ses activités et sa présence sur le disque dur aux utilitaires systeme et antivirus)
Avatar de link385 INpactien
link385 Le mardi 20 juillet 2010 à 00:31:38
Inscrit le lundi 12 mai 03 - 3178 commentaires
J'ai souvent posté ici que la sécurité de Windows n'est qu'un emplâtre sur une jambe de bois, tant que le système considère chaque fichier comme exécutable par défaut. Aujourd'hui, les faits me donnent raison, puisqu'il suffit d'ouvrir un dossier pour installer le rootkit. Et l'UAC n'y peut rien.


encore un qui a tout compris de travers
les faits ne te donnent pas raison, et l'UAC n'a pas été contourné.

sous linux une telle faille aurait exactement les memes effets.
le fait que les fichiers n'aient pas l'attribut execute activé par défaut n'empeche nullement un malware (rentré sur le systeme via une faille comme celle ci) d'executer le dit fichier ou d'ajouter l'attribut X à ce fichier pour l'executer via le shell.


La sécurité c'est simple.


les gens qui disent ça sont ceux qui s'y connaissent le moins

On commence par avoir une vraie séparation des droits admins et utilisateurs (pas une bête surcouche contournable),


c'est déjà le cas depuis windows NT 3.1

et l'uac n'a rien d'une surcouche contournable, c'est même plus securisé que ce qu'on trouve sous linux:
en compte root il n'y a aucune protection, alors qu'en compte admin sous windows l'uac protege. Et l'uac fournit aussi un moyen d'éviter que des keyloggers obtiennent le mot de passe administrateur lors d'une élévation depuis un compte utilisateur limité qui serait compromis (là encore, sous linux un malware usermode pourrait récuperer le mdp root et s'élever)


puis on continue en ne considérant comme exécutable que ce qui l'est vraiment, dans le path et uniquement dans le path, à l'exclusion de tout le reste.


c'est marrant, j'aurais juré que sous linux on pouvait executer un programme peu importe son emplacement (dans un dossier faisant partie de la variable PATH ou non)... faut croire que les ubuntu, mandrake, debian, ... et autre distribs que j'ai utilisé ne devaient pas etre basées sur linux alors

Une sécurité par certification, ce n'est qu'une pompe à fric,


à 300€ le certificat, verisign ne va pas devenir milliardaire grace à ça ;-)

mais ça ne protège pas l'utilisateur, parce qu'un certificat, ça se vole...


et ça se révoque!
d'ailleurs celui de realtek ayant été révoqué depuis vendredi, l'install du rootkit est ainsi bloquée. ça ne protège pas l'utilisateur, ça?

Edité par link385 le mardi 20 juillet 2010 à 00:33
Avatar de link385 INpactien
link385 Le mardi 20 juillet 2010 à 00:38:16
Inscrit le lundi 12 mai 03 - 3178 commentaires
C'est une solution ultime si les gens, justement, n'installent pas n'importe quoi venant de n'importe où..


sauf que les jeux video (et autres applications que l'utilisateur est susceptible de vouloir pirater) ne se trouveront pas en version crackée sur les dépots officiels

comme sous windows, l'utilisateur final executera donc des fichiers qu'il aura téléchargé depuis une source inconnue

et si un site web demande à l'utilisateur d'executer une maj du lecteur flash pour lire une video porno, que va faire l'utilisateur assoiffé de sexe?

(un malware sous osx se faisait passer pour une maj de flash ya pas si longtemps)

la vraie solution n'est pas juste d'avoir des dépots, mais de bloquer l'installation de logiciels en dehors de ces dépots... mais là du coup on retrouve le concept de marketplace vérouillé tant décrié sur iphone et WP7
Avatar de XTuxelite INpactien
XTuxelite Le mardi 20 juillet 2010 à 01:10:50
Inscrit le mardi 1 avril 08 - 75 commentaires


Bref, on dirait vraiment qu'on est tombé sur une bande de très mauvais proffésseurs.


Dont tu aurais bien besoin d'ailleurs :)

Arghhhh! Overgrilled

Edité par XTuxelite le mardi 20 juillet 2010 à 01:11
Avatar de psn00ps INpactien
psn00ps Le mardi 20 juillet 2010 à 01:13:30
Inscrit le jeudi 7 février 08 - 6171 commentaires

sous linux une telle faille aurait exactement les memes effets.
le fait que les fichiers n'aient pas l'attribut execute activé par défaut n'empeche nullement un malware (rentré sur le systeme via une faille comme celle ci) d'executer le dit fichier ou d'ajouter l'attribut X à ce fichier pour l'executer via le shell.
déjà entendu parler de selinux ?

et ça se révoque!
d'ailleurs celui de realtek ayant été révoqué depuis vendredi, l'install du rootkit est ainsi bloquée. ça ne protège pas l'utilisateur, ça?

pour une machine sans accès internet, aucun effet. elle sera vulnérable à la première clé USB qui passe.
Avatar de Grunt- INpactien
Grunt- Le mardi 20 juillet 2010 à 01:37:27
Inscrit le dimanche 7 septembre 08 - 3553 commentaires

sauf que les jeux video (et autres applications que l'utilisateur est susceptible de vouloir pirater) ne se trouveront pas en version crackée sur les dépots officiels

Ok, donc l'utilisateur a son OS avec des dépôts propres.
Il veut utiliser un logiciel tiers qui n'est pas dans les dépôts car, par exemple, sous licence propriétaire et payante (genre, un jeu).
Premier cas: il va sur le site de l'éditeur pour l'acheter. L'éditeur fait les choses bien, binaire signé et/ou téléchargement en HTTPS, s'il y a un malware l'utilisateur peut se retourner contre l'éditeur (comme avec les CD rootkités de Sony), donc l'éditeur fait super gaffe, tout va bien.

Deuxième cas, que tu décris, il va télécharger un binaire n'importe où (Rapidshare, P2P), de provenance forcément douteuse (personne ne va signer un logiciel cracké avec sa clef GPG personnelle ), et là ben.. c'est bien fait pour sa gueule.

AMHA, le système n'a pas vocation à protéger l'utilisateur ou l'administrateur contre sa propre bêtise crasse et irrémédiable. Et c'est d'ailleurs ce que j'apprécie sous Linux: le système obéit quand on lui demande de faire un truc totalement suicidaire, parce que le bon sens se tient, ou est censé se tenir, entre la chaise et le clavier.

et si un site web demande à l'utilisateur d'executer une maj du lecteur flash pour lire une video porno, que va faire l'utilisateur assoiffé de sexe?

Une grosse connerie, tant pis pour lui.
Au risque de me répéter, je n'aimerais pas que Linux se mette à interférer avec ce genre de bêtises. Ce n'est pas le boulot de l'OS, point.

(un malware sous osx se faisait passer pour une maj de flash ya pas si longtemps)

J'en ai un plein dossier des faux Flash pour Windows, ils me servent à tester la base de signatures de Clamav.

la vraie solution n'est pas juste d'avoir des dépots, mais de bloquer l'installation de logiciels en dehors de ces dépots... mais là du coup on retrouve le concept de marketplace vérouillé tant décrié sur iphone et WP7

Oui, c'est vieux comme le monde cette problématique. La liberté implique la responsabilité. À mon sens il est nécessaire:
- de laisser à l'utilisateur la possibilité de choisir son degré de liberté, donc de lui permettre de configurer un système sécurisé mais pas très souple, ou au contraire très permissif mais qui nécessite de la vigileance,
- de rendre l'utilisateur responsable s'il décide de se mettre en danger.

Le problème, c'est que la politique actuelle tend à déresponsabiliser totalement l'utilisateur. À tel point que quelqu'un qui décidera de confier son numéro de CB au premier qui le lui demande par mail se fera rembourser par l'assurance de sa banque.

Il ne faut pas rêver, on ne peut pas avoir un système qui soit totalement infaillible, pas verrouillé du tout, gratuit, dans lequel l'utilisateur peut faire n'importe quelle ânerie sans en subir les conséquences. Ou plutôt, si: c'est la collectivité qui en subit les conséquences. En payant une assurance contre la fraude avec sa carte bleue, en payant indirectement le coût des systèmes anti-spam ou la restauration des systèmes après une attaque de botnets.. On a placé monsieur Michu au centre du système car c'est lui qui dépense 500€ tous les trois ans pour acheter un Acer à Auchan, et tout le reste est censé s'adapter à ses bêtises et lui dérouler le tapis rouge.

Edité par Grand_grunt le mardi 20 juillet 2010 à 01:38
;