VirusBlokAda - Découvreur du ver
L’exploitation de la faille de sécurité des raccourcis (fichiers .LNK) de Windows se poursuit, comme cela était prévisible. ESET nous avertit ainsi de l’apparition d’un nouveau fichier lié à Win32/Stuxnet (dont je parlais dans mon article de dimanche). Il est cette fois signé avec le certificat de la société JMicron Technology Corp. (encore un fabricant Taïwanais de composants électroniques, après Realtek ciblé précédemment…) et aurait été compilé le 14/07/2010.
Cette démarche paraît logique, puisque le certificat attribué à Realtek a été révoqué, et semble indiquer qu’il s’agisse de la même équipe à l’origine de la première propagation. 21/07/2010: Toutefois, comme l’indique Chet Wisniewski, la révocation des certificats n’a aucun effet sur la reconnaissance des virus signés avant celle-ci.
Enfin, il nous est signalé (Wired) que des mots de passe de bases de données des systèmes SCADA qui seraient la cible de ces attaques sont souvent codées en dur dans les distributions et qu’on retrouve notamment ces mots de passe sur des forums en langue allemande et russe, et c’est d’ailleurs ce mot de passe qui aurait mis la puce à l’oreille de Frank Boldewin:
20/07/2010: Après des rapports de sa présence dans plusieurs pays asiatiques (Iran, Indonésie, Inde), le ver est identifié pour la première fois chez un client industriel Européen de Siemens en Allemagne, selon IDG News.
A suivre toujours !
Comment se protéger (suite)
20/07/2010: Une nouvelle méthode de protection est expliquée par Didier Stevens sur son blog. Elle consiste à créer une règle locale restreignant le démarrage d’applications (exécutables .EXE ou .DLL) depuis d’autres localisations que le disque système (normalement C:\…). De son côté, CERT-LEXSI (via @razy84) explique comment sous Windows 7 et 2008 R2 on peut aller plus loin que ces règles SRP grâce à AppLocker.
20/07/2010: Sophos, enfin, présente une page de synthèse sur cette vulnérabilité.
Articles en rapport :
- The Stuxnet sting, Tareq Saade, Microsoft Malware Protection Center, 16/07/2010;
- Verisign revokes certificate used to sign Stuxnet malware, Dennis Fisher, Threatpost Kaspersky Lab, 17/07/2010;
- Win32/Stuxnet signed binaries, Pierre-Marc Bureau, ESET Threat blog, 19/07/2010;
- SCADA system’s hard-coded password circulated online for years, Kim Zetter, Wired, 19/07/2010;
- 20/07/2010: After worm, Siemens says don’t change passwords, Robert McMillan, IDGNews, 19/07/2010;
- 20/07/2010: 0-day LNK: AppLocker à la Rescousse, Sylvain Sarmejeanne, CERT-LEXSI, 20/07/2010;
- 20/07/2010: Siemens: German customer hit by industrial worm, Robert McMillan, IDGNews, 20/07/2010;
- 20/07/2010: The CPLINK vulnerability, what you need to know, Sophos, 20/07/2010;
- 21/07/2010: Certified uncertainty, Chester Wisniewski, Sophos, 20/07/2010.
Bon article résumant très bien la situation actuelle.
Il semblerait qu’une nouvelle solution soit disponible sur le blog du CERT-LEXSI, en utilisant AppLocker sur Windows 7 et Windows 2008 R2 :
http://cert.lexsi.com/weblog/index.php/2010/07/20/388-0-day-lnk-applocker-a-la-rescousse