Page 1 sur 1
[Info] Windows, faille 0-day et rootkit bien particulier
Posté : 19 juil. 2010, 15:14
par chantal11
Bonjour,
Une nouvelle faille de type 0-day, donc déjà exploitée au moment où elle est révélée, touche actuellement Windows. Cette brèche est doublement « intéressante », non seulement par ses détails techniques, mais aussi par son exploitation.
La faille de sécurité est considérée comme critique et touche les raccourcis, ou plus exactement la manière dont Windows XP se charge d’afficher les éléments graphiques pour ces raccourcis, via Shell32.dll. Le problème atteint sa plus grande dangerosité avec les clés USB quand l’exécution automatique est activée. Si un fichier lnk (« Link », raccourci) a été spécialement créé pour tirer profit de la faille, la machine va se retrouver infectée.
Malheureusement, désactiver l’exécution automatique ne permet que de mitiger les risques, car effectuer un double-clic sur le raccourci reviendra au même. Or, de la manière dont la faille est exploitée, aucun mécanisme de sécurité ne peut empêcher le malware de fonctionner. Et pour cause : il s’agit d’un rootkit qui présente la particularité d’installer deux pilotes signés, mrxnet.sys et mrxcls.sys, dont la mission est entre autres de masquer le rootkit.
..... La faille touche toutes les versions de Windows depuis XP (SP3) jusqu’à 7, et donc aussi Windows 2000, Windows XP RTM, SP1 et SP2. À noter également que l’UAC n’intervient pas, ni sous Vista, ni quel que soit son réglage sous Windows 7.
Lire la suite sur
PC INpact
D'autres articles sur cette faille :
Faille 0-day dans Windows Shell, gare aux clés USB !
Découverte d'une faille de sécurité affectant toutes les versions de Windows
@+
Re: [Info] Windows, faille 0-day et rootkit bien particulier
Posté : 19 juil. 2010, 23:22
par chantal11
Bonsoir,
Voici le Bulletin de Sécurité
Microsoft au sujet de cette faille
Microsoft Security Advisory (2286198): Vulnerability in Windows Shell Could Allow Remote Code Execution
Microsoft propose des
Solutions de contournement (en attendant le correctif) :
Désactiver l'affichage des icônes pour les raccourcis
- Remarque : L'utilisation de l'Éditeur du Registre de façon incorrecte peut entraîner des problèmes sérieux qui peuvent vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant de l'utilisation incorrecte de l'Éditeur du Registre puissent être résolus. Utilisez l'Éditeur du Registre à vos propres risques. Pour plus d'informations sur la façon de modifier le Registre, consultez la section «Modification des clés et des valeurs" dans l'Éditeur du Registre (Regedit.exe) ou consulter la rubrique «Ajouter et supprimer des informations dans le Registre" et "Modifier les données du Registre" dans Regedt32. exe.
- Cliquez sur Démarrer, sur Exécuter, tapez Regedit dans la zone Ouvrir, puis cliquez sur OK
- Recherchez et puis cliquez sur la clé de Registre suivante:
HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
- Cliquez sur le menu Fichier et sélectionnez Exporter
- Dans le registre de dialogue Fichier boîte d'exportation, entrez LNK_Icon_Backup.reg et cliquez sur Enregistrer
- Note : Cela créera une sauvegarde de cette clé de Registre dans le dossier Mes documents par défaut
- Sélectionnez la valeur (par défaut) sur la fenêtre de droite dans l'éditeur de Registre. Appuyez sur Entrée pour modifier la valeur de la clé. Supprimer la valeur, de sorte que la valeur est vide, puis appuyez sur Entrée.
- Redémarrer l'ordinateur.
- Impact de cette solution : Désactiver les icônes soient affichées pour les raccourcis empêche la délivrance d'être exploitée sur les systèmes affectés. Lorsque cette solution de contournement est mis en œuvre, des fichiers de raccourci et Internet Explorer raccourcis n'auront plus une icône s'affiche.
Désactiver le service WebClient
La désactivation du service WebClient permet de protéger les systèmes contre les tentatives d'exploiter cette vulnérabilité en bloquant le vecteur d'attaque le plus probable à distance via le Web Distributed Authoring and Versioning (WebDAV) service à la clientèle. Après l'application de cette solution de contournement, il sera toujours possible pour les attaquants distants qui parviendrait à exploiter cette vulnérabilité pour provoquer Microsoft Office Outlook pour exécuter des programmes situés sur l'ordinateur de l'utilisateur cible, ou le réseau local (LAN), mais les utilisateurs seront invités pour la confirmation avant l'ouverture des programmes arbitraires sur l'Internet.
Pour désactiver le service WebClient, procédez comme suit:
- Cliquez sur Démarrer, sur Exécuter, tapez services.msc et puis cliquez sur OK.
- Clic-droit sur WebClient service et sélectionnez Propriétés.
- Modifier le type de démarrage sur Désactivé. Si le service est en cours d'exécution, cliquez sur Arrêter.
- Cliquez sur OK et quittez l'application de gestion.
Impact de cette solution : Lorsque le service WebClient est désactivé, Web Distributed Authoring and Versioning (WebDAV) demandes ne sont pas transmises. En outre, les services qui dépendent du service client Web ne démarre pas et un message d'erreur sera consigné dans le journal système. Par exemple, les actions WebDAV seront inaccessibles à partir de l'ordinateur client.
Comment annuler la solution de contournement :
Pour réactiver le
service WebClient, procédez comme suit:
- Cliquez sur Démarrer, sur Exécuter, tapez services.msc et puis cliquez sur OK.
- Clic-droit sur WebClient service et sélectionnez Propriétés.
- Changer le type de démarrage automatique. Si le service ne fonctionne pas, cliquez sur Démarrer.
- Cliquez sur OK et quittez l'application de gestion.
@+
Re: [Info] Windows, faille 0-day et rootkit bien particulier
Posté : 20 juil. 2010, 08:28
par chantal11
Re: [Info] Windows, faille 0-day et rootkit bien particulier
Posté : 21 juil. 2010, 17:10
par chantal11