Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Faille WMF : l’état des lieux

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Faille WMF : l’état des lieux

Début d’année agité pour le petit monde de la sécurité informatique. La faille WMF n’en fini pas de faire parler d’elle. Les Nouvelles.net fait le point sur sa portée, son exploitation, sa détection et les parades éventuelles. Au menu : de nouveaux parasites, des cartes de voeux piégées, de nouvelles versions de l’attaque et un correctif officieux. Avec en prime la vidéo d’une infection en direct.


La star de cette nouvelle année, c’est elle : la vulnérabilité WMF pour Windows. Après moins d’une semaine d’existence, et toujours sans correctif de la part de Microsoft, elle est désormais massivement exploitée par les pirates, les escrocs et les auteurs de parasites. Et on les comprend : la vulnérabilité frappe toutes les versions de Windows et peut emprunter de nombreux vecteurs d’attaques, depuis la simple page web piégée au courrier électronique en passant par n’importe quelle méthode qui permet au PC d’afficher une vulgaire image.Les attaques…Si la première génération des attaques WMF ne comprenait que des « downloaders » (des codes intégrés à une page web chargés d’installer en douce un code malicieux à sa visite), les escrocs ont depuis bien enrichi leur arsenal. Selon l’éditeur F-Secure, une carte de voeux comportant une image piégée (déguisée au format JPG) aurait été largement diffusée par email. Lorsque l’image est manipulée (ouverte, prévisualisée ou même tout simplement indexée par Google Search), le piège est activé et un cheval de Troie se télécharge et s’installe sur l’ordinateur.Tout aussi inquiétant, et toujours selon l’éditeur F-Secure, un ver se propagerait actuellement via MSN et tenterait d’infecter les internautes en affichant un lien vers une image piégée. Les chatteurs naïfs qui tenteraient de le suivre seraient alors infectés dès l’affichage de l’image et leur PC promptement détourné.Enfin, des sites de confiance (par exemple, selon l’Internet Storm Center, knoppix-std.org, réparé depuis) auraient étés détournés et diffuseraient un code malicieux basé sur WMF.Et ce n’est pas terminé. Récemment, une nouvelle version de l’exploit (le « mode d’emploi » de la faille, qui permet aux escrocs les moins doués d’en profiter eux aussi) a été publiée. Jugée plus avancée et surtout plus difficile à détecter, elle pourrait donner lieu à une troisième vague d’attaques beaucoup plus perfectionnées.Toutes, bien sûr, reposeront alors sur le même principe : forcer l’ordinateur à afficher une image piégée. Celle-ci pourra être lue automatiquement par Internet Explorer, affichée dans un courrier avec Outlook Express (ou, on vient de l’apprendre, par Lotus Notes qui utiliserait la même librairie pour afficher les images WMF), visualisée à l’aide de Paint, de l’outil de Fax de Windows ou encore via un autre navigateur (en acceptant cette fois son ouverture car seul Internet Explorer ne demande rien à l’utilisateur).Bref, il y a de très nombreuses opportunités d’infection, et toutes sont silencieuses, invisibles et parfaitement opérationnelles. Bien entendu, la quasi-totalité des attaques WMF observées à ce jour sont utilisées pour installer des adwares ou des bots chargés de « zombifier » le PC.A l’heure où les « botnets se multiplient et pourrissent la vie du net, à l’heure où la lutte contre les PC zombies est le grand défi du réseau, cette faille -et l’absence de réaction efficace de la part de Microsoft- fera probablement date. Et beaucoup de dégât aussi : déjà, l’éditeur McAfee aurait affirmé que 6% de tous ses clients auraient étés infectés. Le chiffre est faramineux en soi, mais surtout il n’y a aucune raison qu’il soit très différent chez les autres éditeurs considérant que McAfee faisait partie des premiers à détecter cette attaque. La détection…Les éditeurs d’antivirus se sont lancés dans la course avec du retard. Si la plupart détectent désormais les premières versions de l’exploit, ce n’était pas le cas aux premières heures de l’alerte. Un test sur un fichier infecté réalisé le 28 décembre dernier grâce au service Virustotal indique que sur les 24 moteurs antivirus testés, seuls Avast, BitDefender, Fortinet, Kaspersky, McAfee, NOD32 (v2) et Panda identifiaient alors une menace. Par ailleurs, l’éditeur Français Sunbelt donnait l’alerte dès le 27 décembre, et F-Secure faisait état d’attaques dès le 28.Mais il s’agissait là de la première version de l’exploit. Depuis, elle a non seulement donné naissance à de nombreuses variantes, mais surtout à une seconde génération qui pourrait permettre le développement d’attaques plus difficiles à détecter selon l’Internet Storm Center. Mais notons toutefois que lorsque la faille WMF est utilisée pour installer un parasite connu, ce dernier sera a priori détecté par l’antivirus, même si l’exploit WMF utilisé ne l’est pas.(NDLR : Et voilà, c’est parti pour une avalanche de courriers indignés de la part des éditeurs retardataires ou pas cités plus haut, qui vont probablement tenter de nous faire croire qu’ils détectaient cet exploit avant leur petits camarades. Les éditeurs de solutions « génériques » sont d’ailleurs -parfois à juste titre- les spécialistes de ce genre de complainte. Dans l’espoir d’endiguer le flot, précisons que Virustotal n’exploite pas tous les moteurs antivirus, ni aucun antispyware. Point.)Les parades…Une semaine d’attaques massives, et toujours rien du côté de Microsoft. L’éditeur se contente d’affirmer , en substance, qu’il « étudie la situation » et offrira, peut-être, un correctif s’il « estime la situation suffisamment grave ». Et encore, le-dit correctif pourrait n’être livré qu’à l’occasion du prochain rendez-vous mensuel (le 10 janvier 2006) afin de ne pas perturber le doux rythme des patches.Bref, Microsoft est ici totalement à côté de la réalité, communique mal et apparaît parfaitement incompétent. Seul le service Windows One Care de l’éditeur (et, peut-être, l’outil de désinfection gratuit) ont étés mis à jour pour détecter les premiers exploits WMF.Nul doute pourtant que ses équipes techniques ont pris la vraie mesure de la situation, car elles sont (elles !) parfaitement compétentes. Mais l’inertie du géant joue contre lui, et peut-être aussi la nécessité de tester en profondeur les correctifs éventuels.Mais quelles que soient les -bonnes ou mauvaises- raisons qu’il pourra invoquer, ce ratage ne va guère aider l’éditeur à polir sa nouvelle image sécuritaire.Heureusement, la communauté s’organise. Puisque Microsoft n’est pas capable de produire un correctif, un expert indépendant l’a fait à sa place. Ilfak Guilfanov a ainsi développé un correctif capable de patcher en mémoire la librairie vulnérable et ainsi afficher les images WMF sans danger. La rustine a été examinée et testée par l’Internet Storm Center et, du moment qu’elle est téléchargée sur leur site, devrait être de confiance.Raffinement suprême : ce correctif pourra être désinstallé proprement, via l’interface d’ajout et suppression des programmes, une fois que Microsoft aura estimé la menace assez sérieuse pour mériter un vrai correctif.Pour le reste, le conseil de désactiver la librairie shimgvw.dll est bien entendu maintenu, même s’il est maintenant confirmé que cela ne suffira pas à supprimer tout risque d’infection. L’éditeur F-Secure a publié des instructions pas-à-pas afin de désactiver cette librairie. Il est conseillé de les suivre et d’appliquer le correctif d’Ilfak Guilfanov.Enfin, bien entendu, toute la congrégation des fournisseurs d’IDS y va de ses signatures à la pelle afin de détecter cet exploit lorsqu’il entrera sur le réseau. On y retrouve bien sûr l’IDS Libre Snort, et même un module pour identifier la vulnérabilité sur les postes Windows.Attention toutefois : les exploits WMF évoluent vite, et depuis la publication de la seconde génération du code d’attaque les signatures sont rapidement obsolètes. Les administrateurs et responsables de réseaux sont encouragés à s’assurer de la mise à jour très régulière de leurs IDS, IPS et, bien entendu, des passerelles antivirus.L’activation de la protection DEP pour tous les processus (voir notre brève précédente) est également conseillée pour les processeurs qui la supportent de manière matérielle (AMD 64 par exemple). Elle empêcherait l’exécution de l’attaque.Le tout, bien sûr, en attendant que Microsoft fasse son travail…Mise à jour : Au 3 janvier, Microsoft annonce avoir développé un correctif officiel et être entrain de le tester et le traduire. Il sera disponible le 10 janvier.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.