juillet 2010

Stuxnet / CPLink la situation ne s’arrange pas

Mise à jour 03/08/2010: Microsoft diffuse un modificatif de sécurité répondant à l’alerte. Plus d’information dans leur bulletin de sécurité MS10-046.

Aujourd’hui, Graham Cluley (Sophos) attire notre attention depuis son blog sur les mises à jour récentes de la page d’incident mise en place par Microsoft sur cette vulnérabilité:

Ainsi, il serait possible pour l’attaquant de mettre en place un site Web présentant ces raccourcis problématiques ou bien les insérer dans un document (notamment de la suite Microsoft Office).

Les vers Stuxnet

Les plus curieux d’entre vous liront l’article que Symantec a consacré au fonctionnement du ver Stuxnet lui-même.

Se protéger ?

A ce jour, les mesures de protection conseillées par Microsoft, si elles fonctionnent, ne sont pas forcément les plus pratiques car elles empêchent de distinguer les icônes auxquelles les usagers sont familiers. Rappelons que deux autres solutions sont proposées (sur le blog de Didier Stevens):

Par ailleurs, pour Windows 7 et Windows 2008 R2, Cert-Lexsi propose l’utilisation d’Applocker.

Enfin, assurez-vous de disposer d’un antivirus à jour, ceux-ci doivent pour la plupart aujourd’hui être en mesure de détecter aussi bien des raccourcis qui exploiteraient cette vulnérabilité que les différents vers qui ont été identifiés dans la famille Stuxnet.

Articles de référence:

Faille de sécurité des raccourcis sous Windows (suite)

VirusBlokAda - Découvreur du ver

L’exploitation de la faille de sécurité des raccourcis (fichiers .LNK) de Windows se poursuit, comme cela était prévisible. ESET nous avertit ainsi de l’apparition d’un nouveau fichier lié à Win32/Stuxnet (dont je parlais dans mon article de dimanche). Il est cette fois signé avec le certificat de la société JMicron Technology Corp. (encore un fabricant Taïwanais de composants électroniques, après Realtek ciblé précédemment…) et aurait été compilé le 14/07/2010.

Cette démarche paraît logique, puisque le certificat attribué à Realtek a été révoqué, et semble indiquer qu’il s’agisse de la même équipe à l’origine de la première propagation. 21/07/2010: Toutefois, comme l’indique Chet Wisniewski, la révocation des certificats n’a aucun effet sur la reconnaissance des virus signés avant celle-ci.

Enfin, il nous est signalé (Wired) que des mots de passe de bases de données des systèmes SCADA qui seraient la cible de ces attaques sont souvent codées en dur dans les distributions et qu’on retrouve notamment ces mots de passe sur des forums en langue allemande et russe, et c’est d’ailleurs ce mot de passe qui aurait mis la puce à l’oreille de Frank Boldewin:

20/07/2010: Après des rapports de sa présence dans plusieurs pays asiatiques (Iran, Indonésie, Inde), le ver est identifié pour la première fois chez un client industriel Européen de Siemens en Allemagne, selon IDG News.

A suivre toujours !

Comment se protéger (suite)

20/07/2010: Une nouvelle méthode de protection est expliquée par Didier Stevens sur son blog. Elle consiste à créer une règle locale restreignant le démarrage d’applications (exécutables .EXE ou .DLL) depuis d’autres localisations que le disque système (normalement C:\…). De son côté, CERT-LEXSI (via @razy84) explique comment sous Windows 7 et 2008 R2 on peut aller plus loin que ces règles SRP grâce à AppLocker.

20/07/2010: Sophos, enfin, présente une page de synthèse sur cette vulnérabilité.

Articles en rapport :

Faille de sécurité des raccourcis sous Windows

Une faille de sécurité qui toucherait l’ensemble des systèmes Windows de la société Microsoft a été révélée de façon assez brutale cette semaine. En effet, une exploitation particulièrement virulente de cette faille est dans la nature et elle semblerait avoir pour première cible des systèmes de contrôle industriels (SCADA).

Le 17 juin dernier, des experts en sécurité de la société biélorusse VirusBlokAda signalent à la communauté des experts de la lutte antivirale avoir détecté la propagation d’un logiciel malveillant aux caractéristiques inquiétantes:

  • propagation par clés USB ou partages réseau (ce qui est un mode de propagation classique, mais dont on espère toujours être protégé);
  • contournement des protections contre le démarrage automatique (autorun de Windows) ou la restriction des droits de l’utilisateur UAC introduite dans Windows Vista et 7;
  • signature de l’exécutable avec la clé de la société Realtek;
  • installation d’un rootkit.

Une étude détaillée de ces codes malveillants a été publiée par VirusBlokAda (voir la pièce jointe). On peut voir le virus à l’œuvre dans une démonstration réalisée par SophosLabs:

[youtube=http://www.youtube.com/watch?v=1UxN7WJFTVg]

Le fonctionnement de la vulnérabilité est en effet assez bluffant, il suffit d’afficher l’icône du raccourci (un fichier à l’extension .LNK présent sur la clé USB attaquante) dans un navigateur pour que soit déclenchée l’exécution du logiciel malveillant, sans qu’aucun des dispositifs de sécurité actuels de Windows ne l’empêchent.

Microsoft confirme dans un avis de sécurité (2286198) que toutes les versions de Windows sont impactées. Chet Wisniewski de Sophos ajoute d’ailleurs que même les versions de Windows dont la sécurité n’est plus suivie par Microsoft sont impactés, à savoir Windows XP SP2 et Windows 2000.

Le logiciel malveillant détecté par les experts de VirusBlokAda aurait la particularité, selon Frank Boldewin, de chercher à se connecter sur des bases de données de systèmes de commande industriels (SCADA) de la société Siemens et on émet l’hypothèse d’un développement spécifique pour l’espionnage industriel. 19/07/2010: le CERTA détaille dans sa fiche CERTA-2010-ALE-009-002 un certain nombre d’autres comportements (création de fichiers et clés de registre) du rootkit dont des tentatives de connexions vers les sites www.mypremierfutbol.com et www.todaysfutbol.com.

Il n’en reste pas moins que tous les utilisateurs de systèmes Windows sont concernés actuellement et que de nouvelles variantes de cette attaque ne manqueront pas de se propager dans les jours qui viennent.

19/07/2010: En 2005, déjà, Microsoft avait dû corriger certains défauts des fichiers .LNK qui rendaient possible l’exécution de code malveillant (MS05-049). La différence cette fois-ci est que l’exploit est dans la nature avant qu’un correctif n’ait pu être développé. On peut aussi faire un rapprochement avec une faille signalée en 2003 par I2S-Lab (merci @MalwareScene).

Que faire pour se protéger ?

Outre les rappels courants en matière de sécurité et de manipulation de clés USB d’origine douteuse, Microsoft donne un certain nombre de premiers conseils pour empêcher la propagation de cette menace sur votre ordinateur:

  • la désactivation de l’affichage des icônes pour les raccourcis;
  • la désactivation du service WebClient.

Les deux sont expliquées sur le site de Microsoft (paragraphe Workarounds, en anglais), en attendant la publication d’une protection contre cette faille.

Dider Stevens explique sur son blog comment l’outil qu’il a développé (Ariad) permet aussi de se protéger contre cette attaque.

Articles qui évoquent ce dossier: