Windows : Microsoft colmate la faille liée aux raccourcis
Microsoft colmate la faille liée aux raccourcis
De Windows avec un correctif qui sortira dans la journée
Mise à jour du 02/08/10
La vulnérabilité liée aux raccourcis de Windows (et aux fichiers .LNK) est à présent corrigée. Un patch de sécurité devrait en effet être proposé dans la journée.
D'après Microsoft, cette faille n'est plus simplement exploitée par Stuxnet, un malware qui cible les applications sensibles de Siemens dans les industries stratégiques (lire ci-avant). Un autre exploit a également été repéré.
Cette deuxième attaque servirait, toujours d'après Microsoft, à propager à un virus, baptisé Sality.AT.
Sality « est connu pour infecter les autres fichiers (rendant le nettoyage complet après l'infection très difficile), pour se copier sur un support amovible, pour désactiver la sécurité et pour ensuite télécharger d'autres logiciels malveillants », déclarent les experts sécurité de la société.
Un virus classique, mais « particulièrement virulent ».
A tel point que face à la croissance quasi-exponentielle des attaques de ce deuxième virus (beaucoup plus rapide en tout cas que celles de Stuxnet), Christopher Budd, un des responsables de la sécurité de Microsoft, explique qu'il était impératif de sortir un correctif sans rester enfermer dans le cycle mensuel classique des mises à jour de l'OS.
Reste à espérer qu'en plein mois d'aout, les responsables IT spécialisés en sécurité ne seront pas (tous) en vacances. Et que ce patch sera non seulement disponible aujourd'hui - comme promis - mais qu'il sera aussi appliqué.
On ne peut en tout cas plus parler d'exploit « zero-day ».
Source : Billet de Christopher Budd, Billet du Microsoft Malware Protection Center sur le malware Sality
Et vous ?
D'après vous, Microsoft a-t-il été suffisamment rapide, pas assez rapide ou extrêmement réactif dans cette affaire ?
MAJ de Gordon Fowler
Windows : au tour de G Data de proposer son outil contre Stuxnet
L'exploit zero-day est-il devenu un moyen de se faire de la publicité ?
Mise à jour du 28/07/10
On ne sait pas encore à quelle date la faille qui a permis l'exploit zero-day dont est actuellement victime Windows sera officiellement colmatée par Microsoft.
Les éditeurs en profitent.
Après Sophos, (lire ci-avant), c'est au tour de l'allemand G-Data de proposer son outil : « les premières approches pour colmater la vulnérabilité n'ont pas été vraiment couronnées de succès », écrit un porte parole de la société sans préciser s'il ne vise que Fix It (la solution de Microsoft), ou également celle de Sophos.
« Les spécialistes de G*Data ont à présent développé un fix, le “G Data LNK Checker” […] L'utilisateur est protégé contre les dangereux fichiers .Lnk (NDR : les raccourcis) ».
Ce patch est une solution temporaire destinée à être désinstallée au moment de la sortie du correctif de Windows. Elle transforme l'icône des fichiers suspects en panneau de sens interdit pour en bloquer l'exécution automatique et avertir l'utilisateur.
Cette solution, comme celle de Sophos, n'est pas soutenue par Microsoft. La politique de Redmond sur ces sujets est claire : Microsoft décline systématiquement toute responsabilité liée à l'application de solutions de sociétés tierces et recommande de n'utiliser que ses propres outils.
Si l'expérience vous tente tout de même, G Data LNK Checker est disponible sur cette page.
Si l'on avait l'esprit sarcastique, on pourrait par ailleurs se demander si cette attaque n'est pas devenue une aubaine pour les éditeurs qui semblent y avoir trouvé un moyen de communication publicitaire idéal.
Mais nous ne sommes pas sarcastiques.
Source : Communiqué de G-Data
Et vous ?
MAJ de Gordon Fowler
Windows : Sophos sort un outil pour contrer Stuxnet
Et l'exploit zero-day, en attendant le correctif de Microsoft sur les raccourcis de l'OS
Mise à jour du 27/07/10
Le récent exploit zero-day (faille exploitée avant qu'un correctif ne soit sorti) contre plusieurs versions de Windows (lire ci-avant) continue d'alimenter les blogs des éditeurs de sécurité.
Chez Symantec, on affirme avoir « découvert que W32.Stuxnet a déjà infesté plus de 14 000 adresses IP en seulement 72 heures, dont la plupart en Iran, pour accéder à des informations sensibles et notamment aux systèmes SCADA, qui pilotent les technologies industrielles dans des domaines tels que l’eau, l’électricité, le pétrole ou encore les substances chimiques ».
Symantec affirme également avoir dérouté et bloqué le trafic vers un serveur distant en localisé Malaisie pour empêcher les attaquants de pouvoir contrôler les machines infectées et récupérer les informations.
L'éditeur avoue en revanche ne pas savoir qui sont les auteurs de cette attaque très complexes (« Il est clair qu’ils sont loin d’être des amateurs », souligne Laurent Heslault, Directeur des Technologies de Sécurité chez Symantec) et très ciblées (ce qui « démontre une profonde connaissance des logiciels utilisés pour contrôler des processus industriels »). Les spéculations sur ces auteurs vont, elles aussi, commencer à aller bon train.
Sophos, de son coté, propose un outil gratuit pour se prémunir contre cet exploit (tout en soulignant que ses clients sont déjà protégés).
Pour mémoire, la faille de Windows est liée aux raccourcis de l'OS. Microsoft avait préconiser de désactiver ces raccourcis en modifiant le registre (puis automatiser la tâche avec un outil nommé Fix It – lire ci-avant). Mais cette action (et ce patch) rendaient l'utilisation de Windows plus que chaotique.
En attendant la sortie d'une mise à jour de sécurité officielle, Sophos propose donc d'appliquer sa solution.
Une solution qui n'a, rappelons-le, pas l'aval de Microsoft.
Source : Communiqué de Symantec et la page du Windows Shortcut Exploit Protection Tool de Sophos
Et vous ?
MAJ de Gordon Fowler
Windows : Bilan sur le nouvel exploit zero-day
Une attaque particulièrement ciblée, étudiée et complexe pour les experts
Mise à jour du 21/07/10
Beaucoup a été dit sur la dernière attaque zero-day contre différentes versions de Windows (XP, Vista, Windows 7, Server 2003)
Pour faire le point sur cet exploit, nous avons tenté de résumer les choses clairement.
Voici les faits.
L'attaque utilise les supports amovibles (clefs USB, DD externes, etc.).
Le malware est un vers baptisé Stuxnet (Win32.Stuxnet).
Lorsque le support amovible est connecté à une machine, celle-ci est infectée à partir du moment où le raccourci corrompu s'affiche. L'utilisateur n'a pas besoin de cliquer sur le dit-raccourci. Cette attaque utilise en effet une vulnérabilité des fichiers « .lnk ».
Tout support supplémentaire connecté à la machine attaquée devient à son tour porteur du vers.
Stuxnet vise – aujourd'hui – spécifiquement des produits logiciels de la firme Siemens.
L'attaque utilise deux autres malwares.
Un rootkit camoufle l'activité malveillante, tandis qu'un troisième code malicieux s'exécute pour « renifler » la présence – ou non – du logiciel de Siemens recherché.
Autre point crucial, l'attaque arrive à passer outre les certificats numériques de deux sociétés productrices de puces et de hardware (RealTek et Jmicron).
La thèse du vol des signatures numériques dans les locaux de ces deux sociétés Taïwanaises est avancée, d'autant plus qu'elles sont localisées dans le même complexe industrielle, mais il s'agit pour l'instant d'une hypothèse.
Une fois le logiciel de Siemens trouvé (le logiciel se nomme "Simatic WinCC"), Stuxnet utilise un identifiant et un mot de passe par défaut pour prendre le contrôle de la base de données SQL avec laquelle l'application fonctionne.
Pour la petite histoire, ce mot de passe serait disponible sur Internet depuis plusieurs années.
Le malware sélectionne alors les données qu'il a pour mission de chercher, puis les encode et - point étrange - tente de se connecter à un serveur distant pour les transmettre. Etrange puisque l'attaque vise des machines qui – par définition – ne sont pas connectées.
Coté source, l'attaque a d'abord été révélée par Brian Krebs, expert en sécurité, tandis que la société ukrainienne de sécurité VirusBlokAda revendique le premier repérage de Stuxnet.
Une preuve de faisabilité a été publiée la semaine dernière par Didier Stevens.
Microsoft a reconnu dans le même temps l'existence de cette vulnérabilité zero-day tandis que Sophos et Symantec ont publié chacun leurs analyses en début de semaine (lire ci-avant).
Si le malware ne touche que l'es utilisateurs de Simatic WinCC, les autres auraient torts de se réjouir.
Une telle attaque, aussi complexe et aussi ciblée (une première pour de nombreux experts), se fonderait sur un mécanisme assez facilement modifiable pour que le vers puisse s'intéresser à n'importe quelle autre cible. C'est en tout cas ce que craint Sophos.
Siemens et Microsoft travaillent sur des mises à jour.
En attendant ces updates, Microsoft a sortit un patch automatisé... qu'il est fortement recommandé de ne pas appliquer sous peine de voir Windows devenir quasiment inutilisable.
Le fix désactive en effet les raccourcis et transforme toutes les icônes en logo blanc. La barre des tâches et le menu démarrer deviennent ainsi quasiment inutilisables. Microsoft reconnaît d'ailleurs que Fix It (le nom du patch) « impacte la facilité d'utilisation » de l'OS.
Si vous souhaitez néanmoins l'appliquer, il est disponible sur cette page.
Les commanditaires de l'attaque sont encore inconnus (et il y a de fortes chances qu'ils le restent).
Mais l'objectif est clair. Il porte un nom bien connu, lui : espionnage industriel.
Sources :
Bulletin de sécurité de Microsoft
Sophos : ce billet et celui-ci
Le PoC de Didier Steyens
Le billet de Brian Krebs sur l'attaque, et la découverte de Stuxnet par VirusBlokAda
MAJ de Gordon Fowler
Windows : nouvel exploit zero-day
L'attaque se propage par supports amovibles et touche plusieurs versions de l'OS dont Windows 7
Symantec a récemment identifié une nouvelle menace (W32.Temphid) qui se propulse via une méthode inédite en exploitant des vulnérabilités jamais détectées auparavant sur des disques ou clés USB.
Même si elle est encore peu présente en Europe comparé à l’Asie du Sud Est, cette menace jusqu’alors inconnue, utilise un composant rootkit pour masquer les fichiers infectés, empêchant l’utilisateur de voir que la clé est infectée.
Ce maliciel inquiète particulièrement en raison de sa cible puisqu'il touche plusieurs OS de Redmond.
En revanche – bonne ou mauvaise nouvelle – le malware ne s’attaque que peu au grand public et viserait avant tout les systèmes SCADA (Supervisory Control and Data Acquisition), c'est-à-dire les réseaux qui pilotent des technologies industrielles dans des domaines tels que l’eau, l’électricité, le pétrole ou encore les substances chimiques, des systèmes qui ne sont pas connectés à l’Internet et qui utilisent leur propres réseaux pour des raisons de sécurité (et donc susceptibles d'utiliser des supports amovibles puisqu'ils ne sont pas connectés à l'extérieur).
Bien que touchant plusieurs OS, cette menace se développerait principalement sous Windows XP Service Pack 2, version pour laquelle Microsoft ne fournit plus de mise à jour de sécurité.
Microsoft a reconnu la menace et travaille sur un patch de sécurité. Sera-t-il délivré lors du prochain « patch tuesday » ou hors cycle habituelle, on ne le sait pas encore mais une chose est sûre, il devient visiblement de plus en plus urgent de passer à un OS encore supporté (XP SP3, Vista, Windows 7, etc.).
En attendant la mise à jour de Windows, Microsoft propose une solution pour les utilisateurs de disques externes et de clés USB qui consiste à désactiver AutoPlay. Cette manipulation empêchera le lancement automatique de fichiers exécutables lorsque le disque ou la clé USB est branché.
De son coté, Symantec invite les utilisateurs à également déconnecter ces appareils lorsqu’ils ne sont pas utilisés et si l’option est possible, d’activer le mode « lecture seule ».
Source : Blog de Symantec, Bulletin de sécurité de Microsoft
Lire aussi :
Les rubriques (actu, forums, tutos) de Développez :
Et vous ?
Répondre avec citation
Envoyé par sevyc64
) :
Partager