Avis d’expert : semaine du 12 au 18 juillet 2010

Avis d’expert : semaine du 12 au 18 juillet 2010

Après la publication d’une vulnérabilité critique au sein de Windows Shell, le CERT-XMCO recommande aux entreprises et aux particuliers de rester vigilants sur l’exploitation éventuelle de cette vulnérabilité.

Cette vulnérabilité 0-day est particulièrement importante, car il suffit que l’utilisateur explore un dossier local (clef usb, etc…), ou distant (partage réseau, WebDAV, etc…) et contenant le fichier de raccourci malveillant pour que sa machine soit compromise. De plus des codes d’exploitation sont disponibles publiquement sur internet.

Microsoft a proposer deux solutions de contournements. Cependant, la mise en place de ces solutions provoque des effets de bords (désactivation de l’affichage des icônes des raccourcis).

Pour le CERT-XMCO, aucune solution viable n’est envisageable avant la publication du correctif prévu en août.

* Résumé des évènements majeurs :
Vulnérabilité :
Cette semaine a été marquée par la publication mensuelle des bulletins Microsoft.
4 bulletins ont été émis, dont 2 corrigeant des vulnérabilités divulguées publiquement relatives au centre d’aide et de support (MS10-042) et au pilote d’affichage canonique (MS10-043). Toutes les vulnérabilités permettaient de compromettre une machine.

Outre ce « Patch Tuesday » classique, une vulnérabilité 0-day a été dévoilée et est liée au traitement des fichiers de raccourci (fichier LNK ou PIF). Celle-ci est particulièrement importante, car elle affecte l’ensemble des systèmes d’exploitation Windows et ne nécessite que la navigation dans un dossier (local ou distant) contenant le fichier malveillant pour que la machine soit compromise. En outre, des preuves de concept et des codes d’exploitation sont déjà disponibles sur internet. En attendant la publication d’un correctif, Microsoft offre deux méthodes de contournement, une permettant de bloquer toute exploitation de la faille (désactivation des icônes de raccourcis), et une autre permettant de bloquer les exploitations à distance (désactivation du « WebClient »). Microsoft conseille également de bloquer le téléchargement des fichiers LNK et PIF depuis Internet en configurant de manière appropriée la passerelle internet.

Cette semaine a également été la semaine de la publication trimestrielle des bulletins Oracle (CPUJUL2010). Ce ne sont pas moins de 59 vulnérabilités qui ont été corrigées dans l’ensemble des produits Oracle et anciens produits Sun.

Logiciels :
La fin du support de Windows XP SP2 et Windows 2000 est désormais officielle. Microsoft ne publiera ainsi plus de correctif de sécurité pour ces versions de Windows, incluant également les logiciels publiés sur ces plateformes tels qu’Internet Explorer, Media Player ou encore Outlook Express. Il est fortement recommandé de migrer les stations de travail encore sous Windows XP SP2 vers Windows XP SP3 qui sera lui supporté jusqu’en 2014.

Mozilla lutte contre les add-ons non sécurisés, en supprimant et en bloquant le plug-in « Mozilla Sniffer » qui contenait un code capable de voler les identifiants de connexion soumis par l’utilisateur. Plus de 1800 personnes avaient installé ce plug-in.

Cybercriminalité/Attaques :
La vulnérabilité liée aux fichiers LNK est déjà exploitée par des virus. Le premier du genre se nomme « Stuxnet » et a cible des entreprises utilisant des systèmes SCADA.

Microsoft a recensé près de 25 000 tentatives d’exploitation de la faille liée au centre d’aide et de support de Windows, faille qui est désormais comblée (MS10-042).

Le malware Zeus/Zbot est toujours actif et a été mis à jour par ces concepteurs. Cette nouvelle variante est désormais plus sélective dans les banques visées, en ne se concentrant que sur 4 pays (Etats-Unis, Royaume-Uni, Espagne et Allemagne), et se dote de fonctionnalités rendant son analyse plus difficile pour les chercheurs en sécurité. De plus, Zeus tente maintenant d’exploiter les programmes de sécurité « Verified by Visa » et « MasterCard SecureCode » pour obtenir encore plus d’informations personnelles de ses victimes.


Cert-XMCO