S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Windows : une faille 0-day et un rootkit bien particulier

Des pilotes malveillants signés RealTek

microsoft windows securiteUne nouvelle faille de type 0-day, donc déjà exploitée au moment où elle est révélée, touche actuellement Windows. Cette brèche est doublement « intéressante », non seulement par ses détails techniques, mais aussi par son exploitation.

La faille de sécurité est considérée comme critique et touche les raccourcis, ou plus exactement la manière dont Windows XP se charge d’afficher les éléments graphiques pour ces raccourcis, via Shell32.dll. Le problème atteint sa plus grande dangerosité avec les clés USB quand l’exécution automatique est activée. Si un fichier lnk (« Link », raccourci) a été spécialement créé pour tirer profit de la faille, la machine va se retrouver infectée.

Malheureusement, désactiver l’exécution automatique ne permet pas de diminuer significativement les risques, car il suffit que le raccourci soit passé en revue par Windows. Dès lors, la faille est exploitable sans la participation de l'utilisateur : aucun mécanisme de sécurité ne peut empêcher le malware qui l'exploite de fonctionner. Et pour cause : il s’agit d’un rootkit qui présente la particularité d’installer deux pilotes signés, mrxnet.sys et mrxcls.sys, dont la mission est entre autres de masquer le rootkit. En clair : si l'utilisateur ouvre un dossier dans lequel se trouve un raccourci spécialement conçu, la brèche est exploitable.

La clé de signature, découverte par VirusBlokAda et analysée actuellement par Sophos, appartient à la société RealTek, celle-là même qui produit des puces pour un très grand nombre de produits. Cela signifie, au mieux, que cette clé a été « volée » d’une manière ou d’une autre, et que son usage a été fortement détourné.


La faille touche toutes les versions de Windows depuis XP (SP3) jusqu’à 7, et donc aussi Windows 2000, Windows XP RTM, SP1 et SP2. À noter également que l’UAC n’intervient pas, ni sous Vista, ni quel que soit son réglage sous Windows 7. Dans la fiche de description de Microsoft, on apprend également que les clés USB ne sont pas les seules concernées : les partages réseaux et WebDAV sont également touchés.

Les solutions proposées en attendant que Microsoft corrige le problème ont des contreparties. On peut par exemple désactiver les icônes pour les raccourcis, mais cela peut entraîner une confusion dans les fichiers pour l’utilisateur. On peut également désactiver le service WebClient, mais cela coupera toute possibilité d’utiliser SharePoint en entreprise.

La solution la plus efficace, dans un milieu professionnel, est de créer une politique de groupe limitant la possibilité de lancer des exécutables au seul disque C, ou à des emplacements précis sur le réseau.

Le prochain lâché de bulletins de sécurité de Microsoft aura lieu le 10 août. Il reste la possibilité que la firme sorte un correctif hors-cycle, ce qui arrive parfois.
 
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 19/07/2010 à 12:16

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 218 commentaires

Avatar de saga9 INpactien
saga9 Le lundi 19 juillet 2010 à 15:04:05
Inscrit le samedi 10 septembre 05 - 1268 commentaires

ah non eux ils n'ont pas fait une erreur de traduction

ils ont délibérément fait un résumé foireux qui laisse le doute au lecteur comme quoi la faille ne sera pas patchée... ou pas patchée tout de suite. Bref, un article qui laisse libre court à l'imagination, ça s'appelle un appel aux trolls

l'erreur de traduction vient de atomusk qui a levé toute ambiguité dans les propos de slashdot en traduisant son interprétation du résumé ambigu de slashdot. Malheureusement il a traduit la mauvaise interprétation... signe que slashdot arrive à véhiculer un message négatif ("microsoft ne patchera pas cette faille") tout en ne disant pas de mensonge techniquement (puisqu'ils ont précisé "right now" / "pour l'instant")... bref, troller de nos jour c'est tout un art littéraire

C'est encore un coup des chinois du FBI!



Avatar de saga9 INpactien
saga9 Le lundi 19 juillet 2010 à 15:07:51
Inscrit le samedi 10 septembre 05 - 1268 commentaires

la faille ne représente pas un gros risque vu que les antivirus sont capables de detecter les tentatives d'exploitation et de les bloquer (en recherchant des fichiers .LNK ayant une structure particuliere), au final, les utilisateurs d'antivirus sont protégés (comme pour la faille de xp du mois dernier), donc microsoft n'a aucune raison de vouloir précipiter la sortie d'un patch en dehors du patch tuesday.

Pour cela, il faudrait que les antivirus prennent déjà en compte cette menace ce qui, pour une faille 0-day, serait un véritable exploit.
Aussi, je préfère, pour le moment, appliquer les solutions de protection proposées
Avatar de link385 INpactien
link385 Le lundi 19 juillet 2010 à 15:08:08
Inscrit le lundi 12 mai 03 - 3178 commentaires
Excusez de venir tomber comme ça ds la discussions mais il faut dire que j'ai rien compris.

C'est quoi cette histoire de "failles sur l'exécution automatique des périphérique USB quand on clique sur un raccourci qui utilise une clé de certificat volée".

En clair, ce que je demande, la faille concerne quoi? l'exécution automatique? le fait de cliquer sur un raccourci? et que vient faire une clé de certificat la dedans, il faut un certificat pour ouvrir un raccourci sous windows?

Et puis pour finir ce que je n'ai pas aussi compris, que permet de faire cette faille, ou quel type de virus peuvent se lancer suite à cette faille?

Voilà


la faille est exploitée au moment où l'explorateur de fichier affiche le contenu du dossier (pas besoin de cliquer sur un raccourcis, c'est lors de l'affichage de l'icone du raccourcis que la faille est exploitée)

évidemment il faut d'abord que la clef usb ait été infectée depuis un autre ordinateur (via un malware, puisque cette faille en elle meme n'est pas exploitable à distance)

quant au driver signé numériquement, il permet d'installer le malware en tant que driver, donc le rendant plus difficile à détecter par les antivirus puisqu'il tourne à un niveau de privilege tel qu'il peut tromper l'antivirus (en lui faisant croire qu'un dossier est vide par exemple, alors qu'il contient le malware en question)

sans la signature numérique, windows afficherait un avertissement disant que le driver n'est pas signé numériquement et demandant à l'utilisateur s'il veut continuer, ce qui casserait un peu l'effet de surprise de l'infection.

maintenant que le certificat est révoqué, le risque de se faire infecter par ce rootkit est minime (sauf si la machine n'est pas connectée à internet et n'a donc pas acces à la liste de révocation de certificat)
Avatar de saga9 INpactien
saga9 Le lundi 19 juillet 2010 à 15:13:49
Inscrit le samedi 10 septembre 05 - 1268 commentaires

maintenant que le certificat est révoqué, le risque de se faire infecter par ce rootkit est minime (sauf si la machine n'est pas connectée à internet et n'a donc pas acces à la liste de révocation de certificat)

Quelle news indique cela ?

Avatar de atomusk Modérateur
atomusk Le lundi 19 juillet 2010 à 15:16:05
Inscrit le mardi 20 juillet 04 - 21713 commentaires
Quelle news indique cela ?


Celle de slashdot que j'ai repris pour la news

Source :http://threatpost.com/en_us/blogs/verisign-revokes-certificate-used-sign-stuxnet...
Avatar de link385 INpactien
link385 Le lundi 19 juillet 2010 à 15:17:06
Inscrit le lundi 12 mai 03 - 3178 commentaires

en plus je crain que lorsque tout seras cloud, les virus seront ausi cloud, donc faudra que les anti virus soit cloud aussi


le cloud c'est juste un ensemble de serveurs.... donc ce sont des antivirus pour serveur de fichier qu'on peut faire tourner dessus, pas besoin d'un antivirus "cloud".

ce n'est pas côté utilisateur que va s'effectuer la recherche de malwares sur les fichiers hébergés sur le cloud
Avatar de gokudomatic INpactien
gokudomatic Le lundi 19 juillet 2010 à 15:18:08
Inscrit le mercredi 15 décembre 04 - 12299 commentaires
C'est encore un coup des chinois du FBI!

avec l'outsourcing, il faut accepter une marge d'erreur. Mais le bénéfice est multiplié.
Avatar de Tuttle7 INpactien
Tuttle7 Le lundi 19 juillet 2010 à 15:20:11
Inscrit le mardi 28 juillet 09 - 745 commentaires
Explorer.exe manipule le .LNK à la lecture d'un dossier qui lui force la main et ouvre un exécutable (c'est du ring 0, ça passe aussi bien en admin qu'en invité)
Avatar de link385 INpactien
link385 Le lundi 19 juillet 2010 à 15:20:36
Inscrit le lundi 12 mai 03 - 3178 commentaires
Quelle news indique cela ?


http://threatpost.com/en_us/blogs/verisign-revokes-certificate-used-sign-stuxnet...

edit: grillé

Edité par link385 le lundi 19 juillet 2010 à 15:23
Avatar de cid_Dileezer_geek INpactien
cid_Dileezer_geek Le lundi 19 juillet 2010 à 15:21:42
Inscrit le lundi 16 mars 09 - 11557 commentaires
J'ai eu beau chercher le service "WebClient" pour le désactiver, je l'ai pas trouvé dans la liste de services, pourrait-on avoir plus d'infos sur la façon de faire, pas que je compte cliquer sur tout les raccourcis web, mais bon, on ne sait jamais...

PS: Peut-être WebClient est-il le nom du service en anglais, peut-on avoir son équivalent en Français, s'il existe? merci.
;