CPLINK : après les fichiers LNK, voici les PIF, pages web et documents

L’actualité sur le 0-Day touchant les systèmes Windows permettant l’exécution de code sans intervention de l’utilisateur au travers de fichiers de raccourci (.LNK) ne cesse de s’étoffer et l’analyse de la vulnérabilité CVE-2010-2568 continuant, on découvre de nouvelles méthodes d’exploitation de la faille.

Cet exploit (que Sophos a nommé et détecte sous le nom de CPLINK) est désormais bien connu pour permettre l’exploitation via des clés USB, partages réseau et partages WebDav.

Le code permettant d’exploiter cette vulnérabilité a été publié, et Microsoft aucun correctif n’est disponible pour le moment. Microsoft conseille de désactiver le rendu graphique des icônes afin d’empêcher l’exploitation de la faille, toutefois le résultat pourrait résulter rapidement en des difficultés importantes d’utilisation du système (voir le blog de Chet W. pour plus d’information sur ce sujet (en anglais).

La nouveauté porte sur la dernière révision du bulletin de sécurité de Microsoft sur ce sujet. Il est en effet possible d’exploiter cette vulnérabilité via une page web malveillante, permettant donc l’infection lorsque l’utilisateur visite un site web malveillant ou compromis, ou encore via des fichiers de document. Parions que cet exploit fera prochainement partie des pages malveillantes utilisées pour les attaques BlackHat SEO.

Par ailleurs, les fichiers au format .PIF peuvent également être utilisés pour exploiter la vulnérabilité au même titre que les fichiers de raccourci .LNK.

Suivez les dernières nouvelles à propos de cette menace sur notre site dédié CPLINK (en anglais).

Raccourcis sur clés USB : un 0-Day Windows

Les ports USB de nos machines sont potentiellement dangereux, désormais presque tout le monde le sait, notamment depuis la vague d’infection de Conficker utilisant les médias amovibles pour se propager de système en système.

A la suite de cette infection, la capacité Autoplay de Windows a été très fortement remise en cause car ayant très largement contribué à la diffusion du ver.

Malheureusement, aujourd’hui une nouvelle menace semble peser sur les machines avec un 0-Day dans Windows permettant l’exécution de code sur un média amovible (typiquement une clé usb), même si l’Autorun et Autolay sont désactivés. Il est possible d’exécuter le code sans action de l’utilisateur.

Même s’il convient de ne pas s’alarmer outre-mesure, il faut néanmoins mesurer l’impact potentiel de cette faille. En effet, On connaît le risque associé à une propagation automatique de code malveillant via médias amovibles sans action utilisateur avec le triste retour d’expérience de l’infection Conficker, cette faille semble donc être réellement critique.

Les analyses de la faille et des codes malveillants relatifs est toujours en cours d’analyse, il s’agit d’une faille 0-Day non corrigée et actuellement exploitée pour la diffusion d’un rootkit que Sophos détecte en tant que W32/Stuxnet-B.

L’exploitation de cette faille semble venir de la manière pour Windows Explorer d’utiliser l’image lors de l’affichage d’un raccourci (.lnk). L’exploitation de cette vulnérabilité permet l’exécution de code depuis un fichier DLL afin d’implanter le malware dans le système.

Brian Krebs mentionne sur son blog (en Anglais) que la charge de ce rootkit serait de rechercher des informations spécifiques aux logiciels SCADA de Siemens. Il serait donc très ciblé sur des systèmes devenus aujourd’hui critiques dans notre vie quotidienne.

Combien de codes malveillants utiliseront cette faille pour se propager, c’est malheureusement la grande inconnue. Il est pourtant à parier qu’elle le sera, et si la vulnérabilité n’est pas corrigée à ce moment là, le risque est élevé. Je garde pour ma part les yeux tournés vers les futurs codes malveillants l’exploitant, mais également sur Microsoft pour la fourniture d’un correctif.

Si vous êtes client Sophos, je ne peux que vous recommander d’activer si ce n’est déjà fait les capacités de contrôle de périphériques de Sophos Endpoint Security & Control.

Faut-il désormais changer de navigateur au fil des failles ?

Le gouvernement Allemand recommande aux utilisateurs de ne plus utiliser Firefox temporairement en raison d’une faille de sécurité critique non corrigée.

Récemment, je vous faisais part d’un 0-day sur IE6/7. Mettons de côté le fait que Evgeny Legerov (le chercheur Russe ayant découvert cette faille) a proposé de vendre le code qui lui a permis d’exploiter la faille à qui est intéressé, le constat est qu’à ce jour, Firefox 3.6 est également vulnérable à une faille divulguée, et que le correctif ne sera pas disponible avant Firefox 3.6.2 qui selon le planning de la Mozilla Foundation sera disponible avant fin mars.

Rappelons que le Gouvernement Allemand avait déjà émis une alerte vis a vis de Internet Explorer en Janvier à la suite de l’opération Aurora, et avait été suivi par le Gouvernement Français peu de temps après.

Tous les navigateurs web ont des failles de sécurité, et toutes les applications utilisant du contenu actif en ont potentiellement autant. Il est important de surveiller ces dernières et d’avoir une politique de patches et de mise à jour associée et éprouvée, c’est justement là que les choses se compliquent.

A votre domicile, il est relativement facile de changer de navigateur régulièrement, en fonction de vos humeurs, de vos besoins, ou … des failles de sécurité.

En entreprise, ce changement implique beaucoup de choses, et mettre à disposition des utilisateurs différents navigateurs vous oblige à envisager leur configuration globale, et de définir la stratégie d’application des correctifs de sécurité, ce qui est beaucoup plus complexe et ne peut s’effectuer en quelques jours. Envisager le changement de navigateur dans l’urgence risquerait de vous apporter également d’autres problèmes de sécurité, il est primordial lors de l’adoption d’un nouveau logiciel aussi critique qu’un navigateur web, mais également un lecteur PDF d’envisager les tenants et aboutissants de cette mise en place, dont la politique de patch associée. N’oubliez pas que laisser une application installée sur les machine en n’y associant pas les correctifs de sécurité représente un risque important pour votre organisation.

Cette vulnérabilité n’est pas la première pour Firefox, n’est pas non plus la dernière. Il en est de même pour les autres navigateurs. Avoir divers navigateurs approuvés peut être une bonne solution, mais ne comptez pas forcément sur vos utilisateurs pour utiliser l’un ou l’autre en fonction des failles de sécurité, et si vous souhaitez réellement avoir un porte-clé d’applications que vous activez en fonction des failles, il vous faudra appliquer une politique de contrôle d’applications qu’ici encore vous gérerez en fonction de vos besoins de sécurité.

Si vous ne pouvez pas attendre la disponibilité de la version stable de Firefox 3.6.2, il existe une version « Release Candidate », attention toutefois cette dernière n’a pas encore passé les tests qualité de la Mozilla Foundation. Elle est disponible ici : https:/ftp.mozilla.org/pub/mozilla.org/firefox/nightly/3.6.2-candidates/build3/

Mise à jour : Mozilla a publié cette nuit la version 3.6.2 de Firefox, cette mise à jour est évidemment plus que recommandée aussi rapidement que possible. Elle est disponible ici

Si vous êtes intéressés par l’alerte du Bürgen-CERT, la voici (en allemand) :

Encore un 0-Day sur IE6/7, et déjà exploité

Suite au bulletin de sécurité de Microsoft (Advisory 981374 du 9 mars 2010) concernant un nouveau 0-Day sur deux versions de son navigateur Internet Explorer (IE6, IE7), permettant l’exécution de code à distance, on pouvait s’y attendre, et il n’aura pas fallu longtemps à ce que des exploits voient le jour.

Comme les SophosLabs le mentionnent dans ce post, les exploits sont prêts, fonctionnent, et sont toutes griffes dehors pour infecter le visiteur …

Le problème du créateur de l’exploit contre le navigateur, c’est qu’il faut que le navigateur vienne à l’exploit. Pour ce faire, il y a évidemment plusieurs méthodes, je vais en citer trois qui sont les plus répandues à ce jour.

1. L’infection d’un site légitime avec une attaque de type Injection SQL par exemple, et ensuite servir au navigateur un iframe (de taille 0 ou 1 pixel la plupart du temps), qui chargera le contenu externe au site visité (l’exploit).

2. « SEO poisoning » : Il s’agit ici d’optimiser les résultats des moteurs de recherche afin que le site soit bien visible dans les moteurs de recherche (cf mon précédent post sur la vidéo de la mort de Dawn Brancheau à SeaWorld pour un excellent exemple d’attaque de type « SEO poisoning »)

3. Envoyer du spam …

Ce spam reçu dans un spamtrap Sophos invite le destinataire à corriger son adresse postale suite à un envoi de colis qui n’a pas pu être livré. Derrière cette URL (et bien d’autres) se cache l’exploit contre le navigateur. Le processus est dans cet exemple le suivant :
– Exécution d’un script (JavaScript) pour la détection du navigateur et de l’OS utilisé pour visiter la page (Troj/ExpJS-R)
– Si le navigateur n’est à priori pas vulnérable, redirection vers un site de jeux en ligne (Troj/JSRedir-AW)
– Si le navigateur est à priori vulnérable, l’exploit est lancé, derrière cette ultime étape se cachent Mal/Dropper-Y, Troj/Dloadr-CYS, mais il est probable que d’autres verront le jour rapidement !

Il n’est pas nouveau de voir les spams porter des liens vers des URL malveillantes.
Il n’est pas non plus nouveau de voir des utilisateurs cliquer sur les liens de ces mêmes spams pour aller acheter les produits (sinon le spam n’existerait plus !)
Il ne sera donc pas nouveau de voir des utilisateurs se faire infecter par le biais de cette faille en allant visiter l’URL mentionnée dans le spam reçu …

Internet Explorer 8 n’est pas affecté par cette vulnérabilité, il est donc peut-être désormais vraiment temps d’envisager une migration vers cette version, ou utiliser un autre navigateur pour surfer sur internet !