S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Windows : une faille 0-day et un rootkit bien particulier

Des pilotes malveillants signés RealTek

microsoft windows securiteUne nouvelle faille de type 0-day, donc déjà exploitée au moment où elle est révélée, touche actuellement Windows. Cette brèche est doublement « intéressante », non seulement par ses détails techniques, mais aussi par son exploitation.

La faille de sécurité est considérée comme critique et touche les raccourcis, ou plus exactement la manière dont Windows XP se charge d’afficher les éléments graphiques pour ces raccourcis, via Shell32.dll. Le problème atteint sa plus grande dangerosité avec les clés USB quand l’exécution automatique est activée. Si un fichier lnk (« Link », raccourci) a été spécialement créé pour tirer profit de la faille, la machine va se retrouver infectée.

Malheureusement, désactiver l’exécution automatique ne permet pas de diminuer significativement les risques, car il suffit que le raccourci soit passé en revue par Windows. Dès lors, la faille est exploitable sans la participation de l'utilisateur : aucun mécanisme de sécurité ne peut empêcher le malware qui l'exploite de fonctionner. Et pour cause : il s’agit d’un rootkit qui présente la particularité d’installer deux pilotes signés, mrxnet.sys et mrxcls.sys, dont la mission est entre autres de masquer le rootkit. En clair : si l'utilisateur ouvre un dossier dans lequel se trouve un raccourci spécialement conçu, la brèche est exploitable.

La clé de signature, découverte par VirusBlokAda et analysée actuellement par Sophos, appartient à la société RealTek, celle-là même qui produit des puces pour un très grand nombre de produits. Cela signifie, au mieux, que cette clé a été « volée » d’une manière ou d’une autre, et que son usage a été fortement détourné.


La faille touche toutes les versions de Windows depuis XP (SP3) jusqu’à 7, et donc aussi Windows 2000, Windows XP RTM, SP1 et SP2. À noter également que l’UAC n’intervient pas, ni sous Vista, ni quel que soit son réglage sous Windows 7. Dans la fiche de description de Microsoft, on apprend également que les clés USB ne sont pas les seules concernées : les partages réseaux et WebDAV sont également touchés.

Les solutions proposées en attendant que Microsoft corrige le problème ont des contreparties. On peut par exemple désactiver les icônes pour les raccourcis, mais cela peut entraîner une confusion dans les fichiers pour l’utilisateur. On peut également désactiver le service WebClient, mais cela coupera toute possibilité d’utiliser SharePoint en entreprise.

La solution la plus efficace, dans un milieu professionnel, est de créer une politique de groupe limitant la possibilité de lancer des exécutables au seul disque C, ou à des emplacements précis sur le réseau.

Le prochain lâché de bulletins de sécurité de Microsoft aura lieu le 10 août. Il reste la possibilité que la firme sorte un correctif hors-cycle, ce qui arrive parfois.
 
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 19/07/2010 à 12:16

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 218 commentaires

Avatar de atomusk Modérateur
atomusk Le lundi 19 juillet 2010 à 14:39:00
Inscrit le mardi 20 juillet 04 - 21664 commentaires

c'est slashdot qui a écrit cette phrase, et il ne faut pas oublier que l'excitation de troll, c'est leur business!

donc ils ont interet à faire des phrases pas claires pour laisser le doute. d'ailleurs tu vois ça marche, tu n'aurais probablement pas mis un lien vers leur site s'ils avaient dit clairement que ce ne serait pas patché en dehors du patch tuesday (et donc que ce bel et bien patché lors d'un patch tuesday). Mais là le fait qu'ils sous entendent que ce ne sera jamais patché (mais bien sûr!) donne une dimension "spectaculaire" à leur article (eh oui le FUD ça rapporte des visiteurs).


Quand bien même le Slashdot est un site de troll, ils font quand même rarement dans le FUD baveux (en dehors des commentaires).
Perso, j'aimerai vraiment voir la source
Avatar de link385 INpactien
link385 Le lundi 19 juillet 2010 à 14:41:21
Inscrit le lundi 12 mai 03 - 3178 commentaires
à Microsoft pour une faille pareille.


des failles comme ça, ça n'a rien de scandaleux ou s'incroyable.
il y en a dans tous les OS/shells.

du temps où l'autorun n'était pas activé par défaut, personne ne prenait la peine de rechercher des failles dans le shell de windows puisque les auteurs de malwares avaient déjà le moyen nécessaire à la diffusions de leurs créations via les clefs usb.

maintenant que l'autorun est desactivé par défaut (meme sous xp depuis un patch tuesday), ils s'interessent aux failles du shell pour pouvoir diffuser leurs "créations" plus efficacement.

donc on voit bien que la recherche de faille est guidée par le besoin. Sous d'autres OS qui ne sont pas ciblés par les auteurs de malwares, les auteurs de malwares n'ont aucune motivation qui les pousserait à rechercher des failles dans l'explorateur de KDE, gnome, ou d'osx puisqu'ils se concentrent uniquement sur windows (et un tout petit peu sur osx depuis peu).

mais pourtant un explorateur de fichier a une surface d'exposition potentiellement très importante via la génération automatique des vignettes d'aperçu des fichiers. Il y a donc du code (installé sur le systeme) qui s'execute automatiquement et ouvre les images, doc, et pdf pour générer les aperçus, donc si ces fichiers sont conçus pour exploiter une faille dans libpng par exemple (ou une librairie de lecture de pdf, ...), il suffirait d'ouvrir une clef usb via un explorateur supportant la génération de vignettes, et hop, l'infection aurait lieu sans meme avoir à cliquer sur un fichier.

en l'occurrence, cette faille de windows se situe dans l'extraction des icones de fichiers
Avatar de ArhK INpactien
ArhK Le lundi 19 juillet 2010 à 14:43:25
Inscrit le vendredi 4 août 06 - 1086 commentaires
Franchement ... abusé cet anglicisme, je propose :atténuer, réduire, minimiser.

Sinon l'antivirus de MS le détecte ?


Heu... C'est parfaitement français Mitiger.....c'est pas parce que tu connais pas qu'il faut crier à l'anglicisme....

Edit : Ultra-grillé

Edité par ArhK le lundi 19 juillet 2010 à 14:44
Avatar de link385 INpactien
link385 Le lundi 19 juillet 2010 à 14:46:39
Inscrit le lundi 12 mai 03 - 3178 commentaires

Quand bien même le Slashdot est un site de troll, ils font quand même rarement dans le FUD baveux (en dehors des commentaires).
Perso, j'aimerai vraiment voir la source


la source de quoi?
le bulletin de MS?
Avatar de atomusk Modérateur
atomusk Le lundi 19 juillet 2010 à 14:46:49
Inscrit le mardi 20 juillet 04 - 21664 commentaires

Sais-tu que 50% du vocabulaire anglais vient du français...comme ton mitigate d'ailleurs.
Donc pour toi, tu trouves que "mitiger" ça fait : latin -> français -> anglais -> français


Donc pour toi utiliser "digital" comme "numerique" (oui oui, game one "la génération digitale" - La génération avec des doigts - c'est de toi que je parle ), ce n'est pas un "angliscisme" ?

pourtant c'est bien du Latin (-> Français) -> Anglais -> Français ?

Aaaa ça me rappelle à l'époque dans un magasin de jeux video où le vendeur vantait les merites de son cable qui fait passer de la "qualitée digitale à numerique" ... ça traduit les jeux ?
Avatar de link385 INpactien
link385 Le lundi 19 juillet 2010 à 14:48:39
Inscrit le lundi 12 mai 03 - 3178 commentaires
Vista* j'imagine :)
Et je ne vois pas Windows 2000 sur la page de Microsoft. Peut-être parce que le support étendu est terminé, comme pour XP SP0/1/2 (qui est peut-être touché aussi) ?


2000 est touché aussi (et probablement 95/98/me/nt4 aussi)
Avatar de after_burner INpactien
after_burner Le lundi 19 juillet 2010 à 14:50:33
Inscrit le mercredi 16 juillet 08 - 6963 commentaires
Excusez de venir tomber comme ça ds la discussions mais il faut dire que j'ai rien compris.

C'est quoi cette histoire de "failles sur l'exécution automatique des périphérique USB quand on clique sur un raccourci qui utilise une clé de certificat volée".

En clair, ce que je demande, la faille concerne quoi? l'exécution automatique? le fait de cliquer sur un raccourci? et que vient faire une clé de certificat la dedans, il faut un certificat pour ouvrir un raccourci sous windows?

Et puis pour finir ce que je n'ai pas aussi compris, que permet de faire cette faille, ou quel type de virus peuvent se lancer suite à cette faille?

Voilà
Avatar de atomusk Modérateur
atomusk Le lundi 19 juillet 2010 à 14:53:53
Inscrit le mardi 20 juillet 04 - 21664 commentaires

la source de quoi?
le bulletin de MS?


La source qui leur fait penser qu'ils ne comptent pas (maintenant, demain, dans une semaine) sortir de patch ?

Selons les commentaires de Slashdot, ça se base juste sur cette phrase :

We recommend that customers follow the guidance provided in the Security Advisory, making note of mitigations and tested workarounds. We will continue to investigate the vulnerability and, upon completion of that investigation, we will take appropriate action to protect our customers.


donc => pour le moment ils essayent de voir la gravitée de la faille, et en fonction de la gravitée sortiront un patch ou non .

donc la question est close, ils sortiront tres probablement un patch .

Et c'est bien le titre et le "no plan" qui sont de gros FUD

Avatar de link385 INpactien
link385 Le lundi 19 juillet 2010 à 14:54:17
Inscrit le lundi 12 mai 03 - 3178 commentaires
Ou comment mettre sur le dos de slashdot la responsabilité d'une mauvaise traduction...


ah non eux ils n'ont pas fait une erreur de traduction

ils ont délibérément fait un résumé foireux qui laisse le doute au lecteur comme quoi la faille ne sera pas patchée... ou pas patchée tout de suite. Bref, un article qui laisse libre court à l'imagination, ça s'appelle un appel aux trolls

l'erreur de traduction vient de atomusk qui a levé toute ambiguité dans les propos de slashdot en traduisant son interprétation du résumé ambigu de slashdot. Malheureusement il a traduit la mauvaise interprétation... signe que slashdot arrive à véhiculer un message négatif ("microsoft ne patchera pas cette faille") tout en ne disant pas de mensonge techniquement (puisqu'ils ont précisé "right now" / "pour l'instant")... bref, troller de nos jour c'est tout un art littéraire
Avatar de link385 INpactien
link385 Le lundi 19 juillet 2010 à 15:00:34
Inscrit le lundi 12 mai 03 - 3178 commentaires

La source qui leur fait penser qu'ils ne comptent pas (maintenant, demain, dans une semaine) sortir de patch ?

Selons les commentaires de Slashdot, ça se base juste sur cette phrase :


donc => pour le moment ils essayent de voir la gravitée de la faille, et en fonction de la gravitée sortiront un patch ou non .

donc la question est close, ils sortiront tres probablement un patch .

Et c'est bien le titre et le "no plan" qui sont de gros FUD



We recommend that customers follow the guidance provided in the Security Advisory, making note of mitigations and tested workarounds. We will continue to investigate the vulnerability and, upon completion of that investigation, we will take appropriate action to protect our customers.


ça c'est la phrase type de microsoft qui est présente dans chaque bulletin de sécurité, et qui débouche en général sur un patch.

donc oui, slashdot fait bien du FUD, tout en couvrant ses arrieres en pouvant dire "mais non, on a bien précisé que microsoft n'allait pas publier de patch.... pour l'instant! (jusqu'au prochain patch tuesday)"

la faille ne représente pas un gros risque vu que les antivirus sont capables de detecter les tentatives d'exploitation et de les bloquer (en recherchant des fichiers .LNK ayant une structure particuliere), au final, les utilisateurs d'antivirus sont protégés (comme pour la faille de xp du mois dernier), donc microsoft n'a aucune raison de vouloir précipiter la sortie d'un patch en dehors du patch tuesday.

Edité par link385 le lundi 19 juillet 2010 à 15:01
;