Windows : une faille 0-day et un rootkit bien particulier
Des pilotes malveillants signés RealTek
Une nouvelle faille de type 0-day, donc déjà exploitée au moment où elle est révélée, touche actuellement Windows. Cette brèche est doublement « intéressante », non seulement par ses détails techniques, mais aussi par son exploitation.
La faille de sécurité est considérée comme critique et touche les raccourcis, ou plus exactement...
Une nouvelle faille de type 0-day, donc déjà exploitée au moment où elle est révélée, touche actuellement Windows. Cette brèche est doublement « intéressante », non seulement par ses détails techniques, mais aussi par son exploitation.
La faille de sécurité est considérée comme critique et touche les raccourcis, ou plus exactement la manière dont Windows XP se charge d’afficher les éléments graphiques pour ces raccourcis, via Shell32.dll. Le problème atteint sa plus grande dangerosité avec les clés USB quand l’exécution automatique est activée. Si un fichier lnk (« Link », raccourci) a été spécialement créé pour tirer profit de la faille, la machine va se retrouver infectée.
Malheureusement, désactiver l’exécution automatique ne permet pas de diminuer significativement les risques, car il suffit que le raccourci soit passé en revue par Windows. Dès lors, la faille est exploitable sans la participation de l'utilisateur : aucun mécanisme de sécurité ne peut empêcher le malware qui l'exploite de fonctionner. Et pour cause : il s’agit d’un rootkit qui présente la particularité d’installer deux pilotes signés, mrxnet.sys et mrxcls.sys, dont la mission est entre autres de masquer le rootkit. En clair : si l'utilisateur ouvre un dossier dans lequel se trouve un raccourci spécialement conçu, la brèche est exploitable.
La clé de signature, découverte par VirusBlokAda et analysée actuellement par Sophos, appartient à la société RealTek, celle-là même qui produit des puces pour un très grand nombre de produits. Cela signifie, au mieux, que cette clé a été « volée » d’une manière ou d’une autre, et que son usage a été fortement détourné.
La faille touche toutes les versions de Windows depuis XP (SP3) jusqu’à 7, et donc aussi Windows 2000, Windows XP RTM, SP1 et SP2. À noter également que l’UAC n’intervient pas, ni sous Vista, ni quel que soit son réglage sous Windows 7. Dans la fiche de description de Microsoft, on apprend également que les clés USB ne sont pas les seules concernées : les partages réseaux et WebDAV sont également touchés.
Les solutions proposées en attendant que Microsoft corrige le problème ont des contreparties. On peut par exemple désactiver les icônes pour les raccourcis, mais cela peut entraîner une confusion dans les fichiers pour l’utilisateur. On peut également désactiver le service WebClient, mais cela coupera toute possibilité d’utiliser SharePoint en entreprise.
La solution la plus efficace, dans un milieu professionnel, est de créer une politique de groupe limitant la possibilité de lancer des exécutables au seul disque C, ou à des emplacements précis sur le réseau.
Le prochain lâché de bulletins de sécurité de Microsoft aura lieu le 10 août. Il reste la possibilité que la firme sorte un correctif hors-cycle, ce qui arrive parfois.
Une nouvelle faille de type 0-day, donc déjà exploitée au moment où elle est révélée, touche actuellement Windows. Cette brèche est doublement « intéressante », non seulement par ses détails techniques, mais aussi par son exploitation. La faille de sécurité est considérée comme critique et touche les raccourcis, ou plus exactement la manière dont Windows XP se charge d’afficher les éléments graphiques pour ces raccourcis, via Shell32.dll. Le problème atteint sa plus grande dangerosité avec les clés USB quand l’exécution automatique est activée. Si un fichier lnk (« Link », raccourci) a été spécialement créé pour tirer profit de la faille, la machine va se retrouver infectée.
Malheureusement, désactiver l’exécution automatique ne permet pas de diminuer significativement les risques, car il suffit que le raccourci soit passé en revue par Windows. Dès lors, la faille est exploitable sans la participation de l'utilisateur : aucun mécanisme de sécurité ne peut empêcher le malware qui l'exploite de fonctionner. Et pour cause : il s’agit d’un rootkit qui présente la particularité d’installer deux pilotes signés, mrxnet.sys et mrxcls.sys, dont la mission est entre autres de masquer le rootkit. En clair : si l'utilisateur ouvre un dossier dans lequel se trouve un raccourci spécialement conçu, la brèche est exploitable.
La clé de signature, découverte par VirusBlokAda et analysée actuellement par Sophos, appartient à la société RealTek, celle-là même qui produit des puces pour un très grand nombre de produits. Cela signifie, au mieux, que cette clé a été « volée » d’une manière ou d’une autre, et que son usage a été fortement détourné.
La faille touche toutes les versions de Windows depuis XP (SP3) jusqu’à 7, et donc aussi Windows 2000, Windows XP RTM, SP1 et SP2. À noter également que l’UAC n’intervient pas, ni sous Vista, ni quel que soit son réglage sous Windows 7. Dans la fiche de description de Microsoft, on apprend également que les clés USB ne sont pas les seules concernées : les partages réseaux et WebDAV sont également touchés.
Les solutions proposées en attendant que Microsoft corrige le problème ont des contreparties. On peut par exemple désactiver les icônes pour les raccourcis, mais cela peut entraîner une confusion dans les fichiers pour l’utilisateur. On peut également désactiver le service WebClient, mais cela coupera toute possibilité d’utiliser SharePoint en entreprise.
La solution la plus efficace, dans un milieu professionnel, est de créer une politique de groupe limitant la possibilité de lancer des exécutables au seul disque C, ou à des emplacements précis sur le réseau.
Le prochain lâché de bulletins de sécurité de Microsoft aura lieu le 10 août. Il reste la possibilité que la firme sorte un correctif hors-cycle, ce qui arrive parfois.
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 19 juillet 2010 à 12:16
(31 803
lectures)
Soutenez l'indépendance de PC INpact en devenant Premium
- Tout le contenu de PC INpact sans pub
- Et bien plus encore...
Il y a 218 commentaires
INpactien
charon.G
Le mardi 20 juillet 2010 à 15:05:53
#151
Inscrit
le vendredi 29 avril 05
-
6403
commentaires
Ce que je comprends, c'est que l'UAC ne sert à rien. Quelle qu'en soit la raison, UAC ne s'active pas et donc le malware s'exécute.
Autrement dit, peu importe son fonctionnement interne, le service attendu (la protection de la machine) n'est pas rendu...
Autrement dit, peu importe son fonctionnement interne, le service attendu (la protection de la machine) n'est pas rendu...
Parce que tu crois que sous Linux une application avec droits utilisateurs ne peut pas foutre la merde.
Les droits admins ne sont pas nécessaires pour créer un malware.
A moins de sandboxer les applications il n'y a pas d'autres solutions pour le moment.
INpactien
paradise
Le mardi 20 juillet 2010 à 15:15:12
#152
Inscrit
le dimanche 10 avril 05
-
13520
commentaires
Ce que je comprends, c'est que l'UAC ne sert à rien. Quelle qu'en soit la raison, UAC ne s'active pas et donc le malware s'exécute.
Autrement dit, peu importe son fonctionnement interne, le service attendu (la protection de la machine) n'est pas rendu...
Autrement dit, peu importe son fonctionnement interne, le service attendu (la protection de la machine) n'est pas rendu...
La panacée n'existe pas, ou alors il ne faut pas avoir Internet (et encore : on te file un fichier vérolé via une clef USB et hop !).
L'UAC, je ne connais pas, je ne peux pas en parler.
Sur ma Mandriva, j'ai MSEC qui fait un check automatique toutes les demi-heure environ, Clamav, un minimum de ports ouverts, je n'ouvre pas les mails que je ne connais pas, je n'utilise que les logiciels des dépôts, voilà ma sécurité.
Sous Win, c'est de toute façon plus délicat, vu qu'il est la cible de toutes les attaques.
Sous XP je passais du temps à scanner avec au moins 1 AV et 2 anti-malware, le pare-feu, et avec la défrag' ça faisait beaucoup, à tort ou à raison.
Plus tranquille sous Linux à présent, mais ça n'engage que moi, chacun fait ce qu'il veut ou pas, et pense ce qu'il veut, je ne prétends pas détenir toute la vérité, surtout à mon niveau en info !
Modérateur
atomusk
Le mardi 20 juillet 2010 à 15:17:49
#153
Inscrit
le mardi 20 juillet 04
-
19866
commentaires
Ce que je comprends, c'est que l'UAC ne sert à rien. Quelle qu'en soit la raison, UAC ne s'active pas et donc le malware s'exécute.
Autrement dit, peu importe son fonctionnement interne, le service attendu (la protection de la machine) n'est pas rendu...
Autrement dit, peu importe son fonctionnement interne, le service attendu (la protection de la machine) n'est pas rendu...
Et pourtant la "protection de la machine" est réussi vu que la "machine" en elle même est protégée. Il n'y a que le compte de cet utilisateur qui est compromis et en aucun cas la "machine" en elle même (traduit par : LOGIQUE ON EST EN MODE USER)
Donc si on reprend ton raisonnement la sécuritée de linux ne sert à rien vu qu'on peut exectuer un script malveillant avec les droits user, et comprommetre l'environement user de la machine, le systeme de séparation user/root ne sert à rien ?
Le fait qu'un faille de Zlib/pngLib peut permettre à un script malveillant de prendre le controle du compte user (sans bit d'execution s'il vous plait !) signifit que toute la sécuritée des linux/unix ne sert à rien ?
INpactien
paradise
Le mardi 20 juillet 2010 à 15:22:17
#154
Inscrit
le dimanche 10 avril 05
-
13520
commentaires
Parce que tu crois que sous Linux une application avec droits utilisateurs ne peut pas foutre la merde.
Les droits admins ne sont pas nécessaires pour créer un malware.
A moins de sandboxer les applications il n'y a pas d'autres solutions pour le moment.
Les droits admins ne sont pas nécessaires pour créer un malware.
A moins de sandboxer les applications il n'y a pas d'autres solutions pour le moment.
Pardon, mais tu réponds à côté, il te dit que dans ce cas l'UAC ne sert à rien, moi je n'en sais rien, mais c'est à cette affirmation que tu pouvais répondre et non pas à la sécurité sous Linux, autre débat.
Modérateur
atomusk
Le mardi 20 juillet 2010 à 15:24:51
#155
Inscrit
le mardi 20 juillet 04
-
19866
commentaires
Pardon, mais tu réponds à côté, il te dit que dans ce cas l'UAC ne sert à rien, moi je n'en sais rien, mais c'est à cette affirmation que tu pouvais répondre et non pas à la sécurité sous Linux, autre débat.
L'UAC a pour but de remplacer le "su root" avant une action. A partir de là il a la même fonction. Si tu executes un script qui ne nécessite pas les droits admin, il ne se lancera pas. ici c'est le cas.
Donc ça revient à dire que si on peut executer un script en mode user sous linux, le concept de séparation user/root ne sert à rien
INpactien
charon.G
Le mardi 20 juillet 2010 à 15:29:20
#156
Inscrit
le vendredi 29 avril 05
-
6403
commentaires
Pardon, mais tu réponds à côté, il te dit que dans ce cas l'UAC ne sert à rien, moi je n'en sais rien, mais c'est à cette affirmation que tu pouvais répondre et non pas à la sécurité sous Linux, autre débat.
Je ne répond pas à coté il dit que l'UAC ne sert à rien. Dans le sens ou les virus passent quand même. Mais il semble ignorer que sous Linux c'est pareil. Un Malware peut très bien être écrit avec des droits utilisateurs.
INpactien
paradise
Le mardi 20 juillet 2010 à 15:45:09
#157
Inscrit
le dimanche 10 avril 05
-
13520
commentaires
Je ne répond pas à coté il dit que l'UAC ne sert à rien. Dans le sens ou les virus passent quand même. Mais il semble ignorer que sous Linux c'est pareil. Un Malware peut très bien être écrit avec des droits utilisateurs.
Comme dans tout OS, on est bien d'accord.
Il n'en demeure pas moins que des virus et des malware sous Win j'en ai eu, mais pas sous Linux, non pas parce que le système est en lui-même plus sûr et à l'abri de tout, mais parce que ce système n'est pratiquement pas la cible des attaques (je ne parle pas des serveurs UNIX mais des distros et de BSD), que les utilisateurs Nux sont obligatoirement mieux informés que les 90% d'utilisateurs Win parfaitement noobs style Mme Michu à Carrouf', et rien que ça, ça laisse plus tranquille l'utilisateur final.
Après, il est évident qu'un mec informé et prudent un minimum peut être tranquille avec un Win, mais je dirais qu'il doit être encore plus vigilant qu'un linuxien ou un user BSD à cause des attaques, encore une fois, principalement dirigées vers Windows, voilà en gros mon opinion.
Si j'avais des données ultra-sensibles à gérer et/ou si j'étais parano, je monterais un système basé sur OpenBSD fignolé aux petits oignons, déjà, je ne garderais même pas ma Mandriva, c'est dire !
INpactien
Grunt-
Le mardi 20 juillet 2010 à 15:47:01
#158
Inscrit
le dimanche 7 septembre 08
-
3553
commentaires
Actuellement c'est nécessaire d'avoir un minimum d'éducation sur la sécurité. Mais bon ca n'empêche que les systèmes doivent encore s'améliorer. Regardez les PC il y a 20 ans et maintenant. Au niveau du grand public c'est beaucoup plus accessible. Ce que je dis juste ce n'est pas suffisant et il y a encore beaucoup de monde qui n'est capable d'utiliser un PC.
Je ne suis pas certain qu'on puisse parler d' "amélioration".
Il y a 20 ans, les gens qui avaient un ordinateur savaient pourquoi ils l'avaient acheté, et savaient ce qu'ils faisaient avec.
Maintenant, c'est devenu plus ou moins un objet à la mode, qu'on achète pour "faire de l'informatique" (
), et où la plupart des utilisateurs ne savent absolument pas ce qu'ils font (où est Gmail? Qu'est-ce qu'un mail? Quelle est la différence entre un navigateur et un moteur de recherche?). L'ordinateur ne satisfait pas plus les utilisateurs maintenant, qu'il y a 20 ans. On a surtout créé des nouveaux besoins et des trucs très mal conçus qui sont censés y répondre. Mais, si on prend (par exemple) l'usage "échanger du texte avec quelqu'un via Internet", je trouve que MSN constitue une régression par rapport à Talk. Régression du point de vue de l'ergonomie, des libertés, de la compatibilité, de la simplicité, de la robustesse, de la sécurité et de la confidentialité.
Et je maintiens que la grand mère Michu sait parfaitement se servir de Talk dans le contexte qui va bien, tout comme elle a laborieusement appris à se créer un compte MSN dans le contexte qui va bien.
INpactien
charon.G
Le mardi 20 juillet 2010 à 15:50:50
#159
Inscrit
le vendredi 29 avril 05
-
6403
commentaires
Comme dans tout OS, on est bien d'accord.
Il n'en demeure pas moins que des virus et des malware sous Win j'en ai eu, mais pas sous Linux, non pas parce que le système est en lui-même plus sûr et à l'abri de tout, mais parce que ce système n'est pratiquement pas la cible des attaques (je ne parle pas des serveurs UNIX mais des distros et de BSD), que les utilisateurs Nux sont obligatoirement mieux informés que les 90% d'utilisateurs Win parfaitement noobs style Mme Michu à Carrouf', et rien que ça, ça laisse plus tranquille l'utilisateur final.
Après, il est évident qu'un mec informé et prudent un minimum peut être tranquille avec un Win, mais je dirais qu'il doit être encore plus vigilant qu'un linuxien ou un user BSD à cause des attaques, encore une fois, principalement dirigées vers Windows, voilà en gros mon opinion.
Si j'avais des données ultra-sensibles à gérer et/ou si j'étais parano, je monterais un système basé sur OpenBSD fignolé aux petits oignons, déjà, je ne garderais même pas ma Mandriva, c'est dire !
Il n'en demeure pas moins que des virus et des malware sous Win j'en ai eu, mais pas sous Linux, non pas parce que le système est en lui-même plus sûr et à l'abri de tout, mais parce que ce système n'est pratiquement pas la cible des attaques (je ne parle pas des serveurs UNIX mais des distros et de BSD), que les utilisateurs Nux sont obligatoirement mieux informés que les 90% d'utilisateurs Win parfaitement noobs style Mme Michu à Carrouf', et rien que ça, ça laisse plus tranquille l'utilisateur final.
Après, il est évident qu'un mec informé et prudent un minimum peut être tranquille avec un Win, mais je dirais qu'il doit être encore plus vigilant qu'un linuxien ou un user BSD à cause des attaques, encore une fois, principalement dirigées vers Windows, voilà en gros mon opinion.
Si j'avais des données ultra-sensibles à gérer et/ou si j'étais parano, je monterais un système basé sur OpenBSD fignolé aux petits oignons, déjà, je ne garderais même pas ma Mandriva, c'est dire !
Il ne semblait pas en être conscient apparemment...
INpactien
paradise
Le mardi 20 juillet 2010 à 15:55:41
#160
Inscrit
le dimanche 10 avril 05
-
13520
commentaires
Je ne suis pas certain qu'on puisse parler d' "amélioration".
Il y a 20 ans, les gens qui avaient un ordinateur savaient pourquoi ils l'avaient acheté, et savaient ce qu'ils faisaient avec.
Maintenant, c'est devenu plus ou moins un objet à la mode, qu'on achète pour "faire de l'informatique" (), et où la plupart des utilisateurs ne savent absolument pas ce qu'ils font (où est Gmail? Qu'est-ce qu'un mail? Quelle est la différence entre un navigateur et un moteur de recherche?).
L'ordinateur ne satisfait pas plus les utilisateurs maintenant, qu'il y a 20 ans. On a surtout créé des nouveaux besoins et des trucs très mal conçus qui sont censés y répondre. Mais, si on prend (par exemple) l'usage "échanger du texte avec quelqu'un via Internet", je trouve que MSN constitue une régression par rapport à Talk. Régression du point de vue de l'ergonomie, des libertés, de la compatibilité, de la simplicité, de la robustesse, de la sécurité et de la confidentialité.
Et je maintiens que la grand mère Michu sait parfaitement se servir de Talk dans le contexte qui va bien, tout comme elle a laborieusement appris à se créer un compte MSN dans le contexte qui va bien.
Il y a 20 ans, les gens qui avaient un ordinateur savaient pourquoi ils l'avaient acheté, et savaient ce qu'ils faisaient avec.
Maintenant, c'est devenu plus ou moins un objet à la mode, qu'on achète pour "faire de l'informatique" (
), et où la plupart des utilisateurs ne savent absolument pas ce qu'ils font (où est Gmail? Qu'est-ce qu'un mail? Quelle est la différence entre un navigateur et un moteur de recherche?). L'ordinateur ne satisfait pas plus les utilisateurs maintenant, qu'il y a 20 ans. On a surtout créé des nouveaux besoins et des trucs très mal conçus qui sont censés y répondre. Mais, si on prend (par exemple) l'usage "échanger du texte avec quelqu'un via Internet", je trouve que MSN constitue une régression par rapport à Talk. Régression du point de vue de l'ergonomie, des libertés, de la compatibilité, de la simplicité, de la robustesse, de la sécurité et de la confidentialité.
Et je maintiens que la grand mère Michu sait parfaitement se servir de Talk dans le contexte qui va bien, tout comme elle a laborieusement appris à se créer un compte MSN dans le contexte qui va bien.
Là oui, je te suis, avec ce que j'ai souligné en gras et même ta dernière phrase : c'est bien parce que le marketing est omniprésent qu'il y a eu une régression et un laisser-aller dans la sécurité et la confidentialité, de même qu'utiliser un logiciel simple, sobre, mais sûr, n'est pas plus difficile à maîtriser qu'un logiciel bling-bling coloré à la mode, mais ça le marketing ne le dit pas, il faut l'apprendre par soi-même et/ou se renseigner un minimum, et là c'est trop demander au pékin moyen qu'on abrutit de y'a qu'à !
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Libération annonce l'arrivée de son nouveau site
(18)
Le paywall dans la foulée -
Facebook dévoilera sa nouvelle « grande idée » le 20 juin
(23)
On espère que ce sera mieux que Home -
SVOD : Jook Video pour 3 € pendant 3 mois sur Vente Privée
(9)
De la VoD illimitée pour pas cher... -
Tout est vrai (ou presque) : la vie de Kim Dotcom en trois minutes
(15)
Impossible de faire moins
Comment profiter du nouveau Google Maps sans invitation
Les chats gouvernent Internet, cela passe donc par les cookies
434ème édition des LIDD : Liens Idiots Du Dimanche
Java, Batman, Hobbit et GoT au menu, et aussi un ours
-
Des GeForce GTX 770 à partir de 335,51 €
Valable jusqu'au 23 juin -
99,90 € pour un disque dur Toshiba de 3 To en S-ATA 6 Gb/s
Valable pendant 13 heures -
Une GeForce GTX 680 avec le jeu Metro Last Light pour 299,90 €
Valable jusqu'au 21 juin -
Un iPad 2 blanc de 16 Go pour 349 €
Valable jusqu'au 23 juin
