Vulnérabilités
Faille WMF : l'état des lieux
Par Jerome Saiz, le 01 jan 2006 à 13:24:00.
Début d'année agité pour le petit monde de la sécurité informatique. La faille WMF n'en fini pas de faire parler d'elle. Les Nouvelles.net fait le point sur sa portée, son exploitation, sa détection et les parades éventuelles. Au menu : de nouveaux parasites, des cartes de voeux piégées, de nouvelles versions de l'attaque et un correctif officieux. Avec en prime la vidéo d'une infection en direct.
La star de cette nouvelle année, c'est elle : la vulnérabilité WMF pour Windows. Après moins d'une semaine d'existence, et toujours sans correctif de la part de Microsoft, elle est désormais massivement exploitée par les pirates, les escrocs et les auteurs de parasites. Et on les comprend : la vulnérabilité frappe toutes les versions de Windows et peut emprunter de nombreux vecteurs d'attaques, depuis la simple page web piégée au courrier électronique en passant par n'importe quelle méthode qui permet au PC d'afficher une vulgaire image.
Les attaques...Si la première génération des attaques WMF ne comprenait que des "downloaders" (des codes intégrés à une page web chargés d'installer en douce un code malicieux à sa visite), les escrocs ont depuis bien enrichi leur arsenal. Selon l'éditeur F-Secure, une carte de voeux comportant une image piégée (déguisée au format JPG) aurait été largement diffusée par email. Lorsque l'image est manipulée (ouverte, prévisualisée ou même tout simplement indexée par Google Search), le piège est activé et un cheval de Troie se télécharge et s'installe sur l'ordinateur.
Tout aussi inquiétant, et toujours selon l'éditeur F-Secure, un ver se propagerait actuellement via MSN et tenterait d'infecter les internautes en affichant un lien vers une image piégée. Les chatteurs naïfs qui tenteraient de le suivre seraient alors infectés dès l'affichage de l'image et leur PC promptement détourné.
Enfin, des sites de confiance (par exemple, selon l'Internet Storm Center,
knoppix-std.org, réparé depuis) auraient étés détournés et diffuseraient un code malicieux basé sur WMF.Et ce n'est pas terminé. Récemment, une nouvelle version de l'exploit (le "mode d'emploi" de la faille, qui permet aux escrocs les moins doués d'en profiter eux aussi) a été publiée. Jugée plus avancée et surtout plus difficile à détecter, elle pourrait donner lieu à une troisième vague d'attaques beaucoup plus perfectionnées.
Toutes, bien sûr, reposeront alors sur le même principe : forcer l'ordinateur à afficher une image piégée. Celle-ci pourra être lue automatiquement par Internet Explorer, affichée dans un courrier avec Outlook Express (ou, on vient de l'apprendre, par Lotus Notes qui utiliserait la même librairie pour afficher les images WMF), visualisée à l'aide de Paint, de l'outil de Fax de Windows ou encore via un autre navigateur (en acceptant cette fois son ouverture car seul Internet Explorer ne demande rien à l'utilisateur).
Bref, il y a de très nombreuses opportunités d'infection, et toutes sont silencieuses, invisibles et parfaitement opérationnelles. Bien entendu, la quasi-totalité des attaques WMF observées à ce jour sont utilisées pour installer des adwares ou des bots chargés de "zombifier" le PC.
A l'heure où les "botnets se multiplient et pourrissent la vie du net, à l'heure où la lutte contre les PC zombies est le grand défi du réseau, cette faille -et l'absence de réaction efficace de la part de Microsoft- fera probablement date. Et beaucoup de dégât aussi : déjà, l'éditeur McAfee aurait affirmé que 6% de tous ses clients auraient étés infectés. Le chiffre est faramineux en soi, mais surtout il n'y a aucune raison qu'il soit très différent chez les autres éditeurs considérant que McAfee faisait partie des premiers à détecter cette attaque.
La détection...Les éditeurs d'antivirus se sont lancés dans la course avec du retard. Si la plupart détectent désormais les premières versions de l'exploit, ce n'était pas le cas aux premières heures de l'alerte. Un test sur un fichier infecté réalisé le 28 décembre dernier grâce au service Virustotal indique que sur les 24 moteurs antivirus testés, seuls Avast, BitDefender, Fortinet, Kaspersky, McAfee, NOD32 (v2) et Panda identifiaient alors une menace. Par ailleurs, l'éditeur Français Sunbelt donnait l'alerte dès le 27 décembre, et F-Secure faisait état d'attaques dès le 28.
Plus d'information
- Télécharger le correctif officieux (Attention : Les Nouvelles.net n'apporte aucune garantie quant à ce code, hormis celle d'avoir enquêté de bonne foi et reconnaître la compétence et la bonne réputation du SANS, qui diffuse ce correctif).
- La vidéo d'une infection à l'ouverture d'une image WMF, par l'éditeur Websense. Notez la rapidité de l'infection : le premier spyware se manifeste quelques instants seulement après l'ouverture de l'image (le message dans la barre des tâches indiquant que l'ordinateur est infecté par des spywares est en réalité l'oeuvre du spyware, qui tente de vendre de faux antispywares. Il ne provient pas du tout de Windows !). Notez également l'apparition spontanée de raccourcis sur le bureau, signe évident de l'infection par un spyware. Quant au changement de fond d'écran, c'est sans commentaire.
Cartes blanches
Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Les dossiers
Les thématiques
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
