S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Windows : une faille 0-day et un rootkit bien particulier

Des pilotes malveillants signés RealTek

microsoft windows securiteUne nouvelle faille de type 0-day, donc déjà exploitée au moment où elle est révélée, touche actuellement Windows. Cette brèche est doublement « intéressante », non seulement par ses détails techniques, mais aussi par son exploitation.

La faille de sécurité est considérée comme critique et touche les raccourcis, ou plus exactement la manière dont Windows XP se charge d’afficher les éléments graphiques pour ces raccourcis, via Shell32.dll. Le problème atteint sa plus grande dangerosité avec les clés USB quand l’exécution automatique est activée. Si un fichier lnk (« Link », raccourci) a été spécialement créé pour tirer profit de la faille, la machine va se retrouver infectée.

Malheureusement, désactiver l’exécution automatique ne permet pas de diminuer significativement les risques, car il suffit que le raccourci soit passé en revue par Windows. Dès lors, la faille est exploitable sans la participation de l'utilisateur : aucun mécanisme de sécurité ne peut empêcher le malware qui l'exploite de fonctionner. Et pour cause : il s’agit d’un rootkit qui présente la particularité d’installer deux pilotes signés, mrxnet.sys et mrxcls.sys, dont la mission est entre autres de masquer le rootkit. En clair : si l'utilisateur ouvre un dossier dans lequel se trouve un raccourci spécialement conçu, la brèche est exploitable.

La clé de signature, découverte par VirusBlokAda et analysée actuellement par Sophos, appartient à la société RealTek, celle-là même qui produit des puces pour un très grand nombre de produits. Cela signifie, au mieux, que cette clé a été « volée » d’une manière ou d’une autre, et que son usage a été fortement détourné.


La faille touche toutes les versions de Windows depuis XP (SP3) jusqu’à 7, et donc aussi Windows 2000, Windows XP RTM, SP1 et SP2. À noter également que l’UAC n’intervient pas, ni sous Vista, ni quel que soit son réglage sous Windows 7. Dans la fiche de description de Microsoft, on apprend également que les clés USB ne sont pas les seules concernées : les partages réseaux et WebDAV sont également touchés.

Les solutions proposées en attendant que Microsoft corrige le problème ont des contreparties. On peut par exemple désactiver les icônes pour les raccourcis, mais cela peut entraîner une confusion dans les fichiers pour l’utilisateur. On peut également désactiver le service WebClient, mais cela coupera toute possibilité d’utiliser SharePoint en entreprise.

La solution la plus efficace, dans un milieu professionnel, est de créer une politique de groupe limitant la possibilité de lancer des exécutables au seul disque C, ou à des emplacements précis sur le réseau.

Le prochain lâché de bulletins de sécurité de Microsoft aura lieu le 10 août. Il reste la possibilité que la firme sorte un correctif hors-cycle, ce qui arrive parfois.
 
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 19/07/2010 à 12:16

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 218 commentaires

Avatar de tracker INpactien
tracker Le lundi 19 juillet 2010 à 18:59:11
Inscrit le lundi 6 février 06 - 1731 commentaires
"Right now" pourra se traduire "dans l'immédiat".

Donc, Microsoft n'a pas prévu de patch dans l'immédiat.

Ça met d'accord tout le monde ou on continue le HS ?
Avatar de frikakwa INpactien
frikakwa Le lundi 19 juillet 2010 à 19:05:26
Inscrit le vendredi 16 mai 08 - 5132 commentaires
"Right now" pourra se traduire "dans l'immédiat".

Donc, Microsoft n'a pas prévu de patch dans l'immédiat.

Ça met d'accord tout le monde ou on continue le HS ?

Avatar de link385 INpactien
link385 Le lundi 19 juillet 2010 à 19:10:39
Inscrit le lundi 12 mai 03 - 3178 commentaires
Comme pour tout logiciel (je devrais dire paquet), les drivers (libres et non libres) sont disponibles sur les dépôts et sont signés numériquement.


mais ce n'est pas une obligation, et donc un malware peut installer un rootkit sans soucis si l'utilisateur execute une appli en mode root (warez téléchargé depuis un site inconnu...)
Avatar de seb2411 INpactien
seb2411 Le lundi 19 juillet 2010 à 19:30:42
Inscrit le vendredi 24 octobre 08 - 3067 commentaires

mais ce n'est pas une obligation, et donc un malware peut installer un rootkit sans soucis si l'utilisateur execute une appli en mode root (warez téléchargé depuis un site inconnu...)

Le truc c'est qu'en général les drivers sont fournit par ta distribution. Et donc le fait d'aller chercher ses drivers sur un site de "warez" (?) ne se fait pour ainsi presque jamais.

Pour le reste si c'est une application normal le problème reste le même sous Seven ou Linux.
Avatar de Tolor Modérateur
Tolor Le lundi 19 juillet 2010 à 19:32:37
Inscrit le mercredi 5 août 09 - 12180 commentaires
Le truc c'est qu'en général les drivers sont fournit par ta distribution. Et donc le fait d'aller chercher ses drivers sur un site de "warez" (?) ne se fait pour ainsi presque jamais.

Et sur windows, les drivers sont fournis par Charon
Avatar de charon.G INpactien
charon.G Le lundi 19 juillet 2010 à 20:06:43
Inscrit le vendredi 29 avril 05 - 7346 commentaires
Le truc c'est qu'en général les drivers sont fournit par ta distribution. Et donc le fait d'aller chercher ses drivers sur un site de "warez" (?) ne se fait pour ainsi presque jamais.

Pour le reste si c'est une application normal le problème reste le même sous Seven ou Linux.

Tu peux très bien installer une application qui installerait un module du noyau du linux. Je crois bien que les rootkits sont arrivés en premier sur Unix. Donc ça existe...

Sur Windows Vista/7 64, c'est beaucoup plus difficile vu que la signature numérique est obligatoire.
Avatar de dasoft INpactien
dasoft Le lundi 19 juillet 2010 à 20:12:59
Inscrit le lundi 20 avril 09 - 140 commentaires
Il existe toujours des gens qui ne savent pas quoi foutre de leur journée et s'amuse à créer un virus/malware qui ne sert strictement à rien...
Avatar de Tolor Modérateur
Tolor Le lundi 19 juillet 2010 à 20:13:20
Inscrit le mercredi 5 août 09 - 12180 commentaires
Charon, 2 fois que tu me fais le coup, je prononce ton nom, et tu arrives sur le sujet juste après
je vais commencer à me poser des questions
Avatar de Acarien INpactien
Acarien Le lundi 19 juillet 2010 à 20:21:24
Inscrit le lundi 19 juillet 10 - 1 commentaires
Salut,

Le bulletin de MS dit que l'icône doit être cliquée.

Notre ministère que la faille est exploitée "à l'ouverture du dossier contenant les fichiers mal formés" voire via "tout autre vecteur menant à l'affichage des fichiers malformés dans l'explorateur de fichier".

D'où sans doute le "il suffit que le raccourci soit passé en revue par Windows" INpactien.

Quel est le mode exact d'action ? Pour l'instant, j'ai un avis assez mitigé ;-) sur le bulletin du CERTA dont je trouve la rédaction plutôt imprécise.
Avatar de charon.G INpactien
charon.G Le lundi 19 juillet 2010 à 20:24:18
Inscrit le vendredi 29 avril 05 - 7346 commentaires
Charon, 2 fois que tu me fais le coup, je prononce ton nom, et tu arrives sur le sujet juste après
je vais commencer à me poser des questions

J'ai repondu au dessus déjà j'avais reperé la news

Pour le coup des drivers sous Linux, dans un terminal vous lancez la commande ps -e u, vous verrez que plein de processus tournent avec les droits admins. (C'est pareil sur les autres OS). Il suffit d'une faille dans un de ces processus pour aller installer un rootkit. Ca c'est une des possibilités. Il y a beau avoir un gestionnaire de packages ,ce n'est pas l'unique point d'entrée du système pour lancer un éxécutable.
;