Faille de sécurité des raccourcis sous Windows (suite)

VirusBlokAda - Découvreur du ver

L’exploitation de la faille de sécurité des raccourcis (fichiers .LNK) de Windows se poursuit, comme cela était prévisible. ESET nous avertit ainsi de l’apparition d’un nouveau fichier lié à Win32/Stuxnet (dont je parlais dans mon article de dimanche). Il est cette fois signé avec le certificat de la société JMicron Technology Corp. (encore un fabricant Taïwanais de composants électroniques, après Realtek ciblé précédemment…) et aurait été compilé le 14/07/2010.

Cette démarche paraît logique, puisque le certificat attribué à Realtek a été révoqué, et semble indiquer qu’il s’agisse de la même équipe à l’origine de la première propagation. 21/07/2010: Toutefois, comme l’indique Chet Wisniewski, la révocation des certificats n’a aucun effet sur la reconnaissance des virus signés avant celle-ci.

Enfin, il nous est signalé (Wired) que des mots de passe de bases de données des systèmes SCADA qui seraient la cible de ces attaques sont souvent codées en dur dans les distributions et qu’on retrouve notamment ces mots de passe sur des forums en langue allemande et russe, et c’est d’ailleurs ce mot de passe qui aurait mis la puce à l’oreille de Frank Boldewin:

20/07/2010: Après des rapports de sa présence dans plusieurs pays asiatiques (Iran, Indonésie, Inde), le ver est identifié pour la première fois chez un client industriel Européen de Siemens en Allemagne, selon IDG News.

A suivre toujours !

Comment se protéger (suite)

20/07/2010: Une nouvelle méthode de protection est expliquée par Didier Stevens sur son blog. Elle consiste à créer une règle locale restreignant le démarrage d’applications (exécutables .EXE ou .DLL) depuis d’autres localisations que le disque système (normalement C:\…). De son côté, CERT-LEXSI (via @razy84) explique comment sous Windows 7 et 2008 R2 on peut aller plus loin que ces règles SRP grâce à AppLocker.

20/07/2010: Sophos, enfin, présente une page de synthèse sur cette vulnérabilité.

Articles en rapport :

À propos Éric Freyssinet
Officier de gendarmerie. Docteur en informatique. Travaille depuis 1998 dans le domaine de la lutte contre la cybercriminalité, actuellement conseiller auprès du Préfet en charge de la lutte contre les cybermenaces au Ministère de l'intérieur. Les idées publiées sur ce blog le sont à titre personnel. Law enforcement officer (colonel with the Gendarmerie nationale in France). PhD in computer science. Working since 1998 in the fight against cybercrime. Views published on these blogs are personal.

One Response to Faille de sécurité des raccourcis sous Windows (suite)

  1. Razy says:

    Bon article résumant très bien la situation actuelle.

    Il semblerait qu’une nouvelle solution soit disponible sur le blog du CERT-LEXSI, en utilisant AppLocker sur Windows 7 et Windows 2008 R2 :
    http://cert.lexsi.com/weblog/index.php/2010/07/20/388-0-day-lnk-applocker-a-la-rescousse

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :