Vulnérabilités

Faille WMF : l'état des lieux

Par Jerome Saiz, le 01 jan 2006 à 13:24:00.

Vulnérabilités

Début d'année agité pour le petit monde de la sécurité informatique. La faille WMF n'en fini pas de faire parler d'elle. Les Nouvelles.net fait le point sur sa portée, son exploitation, sa détection et les parades éventuelles. Au menu : de nouveaux parasites, des cartes de voeux piégées, de nouvelles versions de l'attaque et un correctif officieux. Avec en prime la vidéo d'une infection en direct.

[page 2 sur 3] Mais il s'agissait là de la première version de l'exploit. Depuis, elle a non seulement donné naissance à de nombreuses variantes, mais surtout à une seconde génération qui pourrait permettre le développement d'attaques plus difficiles à détecter selon l'Internet Storm Center. Mais notons toutefois que lorsque la faille WMF est utilisée pour installer un parasite connu, ce dernier sera a priori détecté par l'antivirus, même si l'exploit WMF utilisé ne l'est pas.

(NDLR : Et voilà, c'est parti pour une avalanche de courriers indignés de la part des éditeurs retardataires ou pas cités plus haut, qui vont probablement tenter de nous faire croire qu'ils détectaient cet exploit avant leur petits camarades. Les éditeurs de solutions "génériques" sont d'ailleurs -parfois à juste titre- les spécialistes de ce genre de complainte. Dans l'espoir d'endiguer le flot, précisons que Virustotal n'exploite pas tous les moteurs antivirus, ni aucun antispyware. Point.)

Les parades...

Une semaine d'attaques massives, et toujours rien du côté de Microsoft. L'éditeur se contente d'affirmer, en substance, qu'il "étudie la situation" et offrira, peut-être, un correctif s'il "estime la situation suffisamment grave".
Et encore, le-dit correctif pourrait n'être livré qu'à l'occasion du prochain rendez-vous mensuel (le 10 janvier 2006) afin de ne pas perturber le doux rythme des patches.
Bref, Microsoft est ici totalement à côté de la réalité, communique mal et apparaît parfaitement incompétent. Seul le service Windows One Care de l'éditeur (et, peut-être, l'outil de désinfection gratuit) ont étés mis à jour pour détecter les premiers exploits WMF.
Nul doute pourtant que ses équipes techniques ont pris la vraie mesure de la situation, car elles sont (elles !) parfaitement compétentes. Mais l'inertie du géant joue contre lui, et peut-être aussi la nécessité de tester en profondeur les correctifs éventuels.
Mais quelles que soient les -bonnes ou mauvaises- raisons qu'il pourra invoquer, ce ratage ne va guère aider l'éditeur à polir sa nouvelle image sécuritaire.

Heureusement, la communauté s'organise. Puisque Microsoft n'est pas capable de produire un correctif, un expert indépendant l'a fait à sa place. Ilfak Guilfanov a ainsi développé un correctif capable de patcher en mémoire la librairie vulnérable et ainsi afficher les images WMF sans danger. La rustine a été examinée et testée par l'Internet Storm Center et, du moment qu'elle est téléchargée sur leur site, devrait être de confiance.
Raffinement suprême : ce correctif pourra être désinstallé proprement, via l'interface d'ajout et suppression des programmes, une fois que Microsoft aura estimé la menace assez sérieuse pour mériter un vrai correctif.

Pour le reste, le conseil de désactiver la librairie shimgvw.dll est bien entendu maintenu, même s'il est maintenant confirmé que cela ne suffira pas à supprimer tout risque d'infection. L'éditeur F-Secure a publié des instructions pas-à-pas afin de désactiver cette librairie. Il est conseillé de les suivre et d'appliquer le correctif d'Ilfak Guilfanov.
Enfin, bien entendu, toute la congrégation des fournisseurs d'IDS y va de ses signatures à la pelle afin de détecter cet exploit lorsqu'il entrera sur le réseau. On y retrouve bien sûr l'IDS Libre Snort, et même un module pour identifier la vulnérabilité sur les postes Windows.

Plus d'information

Télécharger le correctif officieux (Attention : Les Nouvelles.net n'apporte aucune garantie quant à ce code, hormis celle d'avoir enquêté de bonne foi et reconnaître la compétence et la bonne réputation du SANS, qui diffuse ce correctif).
La vidéo d'une infection à l'ouverture d'une image WMF, par l'éditeur Websense. Notez la rapidité de l'infection : le premier spyware se manifeste quelques instants seulement après l'ouverture de l'image (le message dans la barre des tâches indiquant que l'ordinateur est infecté par des spywares est en réalité l'oeuvre du spyware, qui tente de vendre de faux antispywares. Il ne provient pas du tout de Windows !). Notez également l'apparition spontanée de raccourcis sur le bureau, signe évident de l'infection par un spyware. Quant au changement de fond d'écran, c'est sans commentaire.

Failles iTunes : et de deux ! (18 nov 2005)

Cartes blanches

IAM : dépenser moins pour gagner plus Bruno Vincent Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.	Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
>> Plus de Cartes Blanches