Faille PnP de Microsoft : Mocbot débarque [MàJ]
Mocbot : avoir ou ne pas avoir un cheval
Voilà qui va redonner une popularité croissante à la dernière vague de mises à jour, pour rappeler à l’ordre ceux qui n’ont pas encore pris ce train-là. Une faille corrigée lors du dernier train de correctifs Microsoft (MS05-047), vient d’être exploitée par un cheval de Troie. L'éditeur l’indiquait déjà dans son bulletin : la faille, dont la rustine est disponible depuis le 11 octobre 2005, autorise l’exécution de code à distance entre autres joyeusetés, suite à un bug dans la gestion du module Plug’n’Play (PnP).
Le trojan IRC Mocbot exploite la brèche pour installer dans le dossier system32 de Windows, le fichier Wudpcom.exe. Il tente alors de se connecter sur plusieurs canaux IRC, basés en Russie (inaccessibles depuis peu). Tout en modifiant plusieurs clés dans la base des registres, il attend alors sagement les ordres d’un usager distant, lequel pourra entreprendre une attaque par Ddos, faire un scan pour trouver d’autres vulnérabilités, voire télécharger ou exécuter des fichiers sur la machine un peu trop hôte.
Le cas ressemble à celui du ver zotob qui exploitait déjà une autre faille du module PnP, décrite dans le bulletin MS05-039 publié en août dernier. Celui-ci avait frappé de grosses sociétés ; entre autres victimes, Associated Press, Caterpillar, CNN, Daimler/Chrysler, General Electric, SBC Communications ou encore United Parcel Service. Toutes avaient un peu tardé à faire les mises à jour de rigueur… C'est d'ailleurs ce tableau de chasse qui lui avait donné une certaine notoriété en matière de malware. Mais alors que Zotob ne galopait que sur les terres de Windows 2000 (essentiellement), la nouvelle faille PnP et le cheval de Troie MocBot visent aussi bien Windows 2000 SP4 que XP SP1 et SP2, ce qui laisse présager un certain « succès » chez ceux qui auront sauté le train d’update du 11 octobre dernier.
[MàJ] Selon une mise à jour qui vient d'être postée chez McAfee, MocBot exploiterait bien la même faille que Zotob et concerne donc uniquement le bulletin MS05-039, non celui du 11 octobre. "Les premières analyses suggéraient que le bulletin MS05-047 était exploité en raison des similitudes entre les deux exploits" indique à l'instant l'éditeur. Il ne concernerait donc plus que Windows 2000 contraitelment à ce qui avait été indiqué initialement.
Le trojan IRC Mocbot exploite la brèche pour installer dans le dossier system32 de Windows, le fichier Wudpcom.exe. Il tente alors de se connecter sur plusieurs canaux IRC, basés en Russie (inaccessibles depuis peu). Tout en modifiant plusieurs clés dans la base des registres, il attend alors sagement les ordres d’un usager distant, lequel pourra entreprendre une attaque par Ddos, faire un scan pour trouver d’autres vulnérabilités, voire télécharger ou exécuter des fichiers sur la machine un peu trop hôte.
Le cas ressemble à celui du ver zotob qui exploitait déjà une autre faille du module PnP, décrite dans le bulletin MS05-039 publié en août dernier. Celui-ci avait frappé de grosses sociétés ; entre autres victimes, Associated Press, Caterpillar, CNN, Daimler/Chrysler, General Electric, SBC Communications ou encore United Parcel Service. Toutes avaient un peu tardé à faire les mises à jour de rigueur… C'est d'ailleurs ce tableau de chasse qui lui avait donné une certaine notoriété en matière de malware. Mais alors que Zotob ne galopait que sur les terres de Windows 2000 (essentiellement), la nouvelle faille PnP et le cheval de Troie MocBot visent aussi bien Windows 2000 SP4 que XP SP1 et SP2, ce qui laisse présager un certain « succès » chez ceux qui auront sauté le train d’update du 11 octobre dernier.
[MàJ] Selon une mise à jour qui vient d'être postée chez McAfee, MocBot exploiterait bien la même faille que Zotob et concerne donc uniquement le bulletin MS05-039, non celui du 11 octobre. "Les premières analyses suggéraient que le bulletin MS05-047 était exploité en raison des similitudes entre les deux exploits" indique à l'instant l'éditeur. Il ne concernerait donc plus que Windows 2000 contraitelment à ce qui avait été indiqué initialement.
Source :
Branchez-Vous
Marc Rees
le 24 octobre 2005 à 08:55
(12 169
lectures)
Actualités et brèves relatives
- 12 / 10 / 2005 : Microsoft : bulletin de sécurité d'octobre 2005
- 12 / 09 / 2005 : Mardi 13 : Microsoft annule ses mises à jour
- 05 / 09 / 2005 : Top 10 des virus : Zotob pas au top
- 01 / 09 / 2005 : Microsoft veut ouvrir un portail dédié au cybercrime
- 30 / 08 / 2005 : Nouveaux suspects dans l'affaire du ver Zotob
- 29 / 08 / 2005 : Arrestation des auteurs présumés de Zotob
- 24 / 08 / 2005 : Zotob s'attaque aussi à Windows XP SP1
- 19 / 08 / 2005 : Les dégâts de Zotob dans le monde professionnel
- 14 / 09 / 2004 : Longhorn pourra bloquer les ports USB en entreprise
