Dans un bulletin de sécurité, Microsoft a confirmé ce que certains chercheurs disent depuis près d'un mois : des pirates ont exploité un bug présent dans les fichiers « raccourcis » de Windows. Cette sorte d'alias généralement visible sur le bureau ou dans le menu Démarrer redirige vers les fichiers originaux ou les applications. « Cette vulnérabilité opère en conjonction avec le malware Stuxnet, » a déclaré Dave Forstrom, un des directeurs du Microsoft Trustworthy Computing Group, dans un blog vendredi. « Stuxnet, un groupe de logiciels malveillants, comprend un cheval de Troie qui télécharge le code pour provoquer de nouvelles attaques, et un « rootkit » chargé de masquer l'attaque, » ajoute-t-il, estimant par ailleurs que la menace est « limitée et ciblée. » Mais, le groupe de chercheurs chargés chez Microsoft de coder les signatures antivirus dit avoir comptabilisé 6000 tentatives d'attaque de PC sous Windows depuis le 15 juillet.
Vendredi, Siemens a alerté ses clients utilisant le logiciel de gestion Simatic WinCC que les attaques utilisant cette vulnérabilité de Windows ciblaient les ordinateurs servant à gérer des systèmes de contrôle à grande échelle, ceux-là mêmes utilisés par la plupart des grandes entreprises et des services publics. La vulnérabilité a été évoquée une premières fois le 17 juin dans un billet d'alerte émis par VirusBlokAda, une entreprise spécialisée dans la sécurité informatique peu connue et basée en Biélorussie. D'autres organismes de sûreté, y compris Sophos au Royaume-Uni et l'Internet Storm Center de l'institut SANS, ont également signalé la menace vendredi. Brian Krebs, qui tient un blog sur la sécurité, anciennement hébergé par le Washington Post, avait écrit un billet à ce sujet dès jeudi.
Attention aux clefs USB
Selon Microsoft, Windows ne parvient pas à analyser correctement les fichiers de raccourcis identifiés par l'extension «.Ink ». La faille a été le plus souvent exploitée au moyen de lecteurs flash USB, les pirates ayant placé un fichier malveillant portant l'extension .Ink pour détourner les PC sous Windows sans action de l'utilisateur, puisqu'il suffit que celui-ci affiche le contenu de la clé USB avec un gestionnaire de fichiers comme Windows Explorer. Chester Wisniewski, conseiller en sécurité chez Sophos, qualifie la menace de « mauvaise. » D'après ses tests, le leurre fonctionne même lorsque les fonctions AutoRun et autoplay, déjà utilisées par des pirates pour prendre le contrôle d'ordinateurs à l'aide de lecteurs flash infectés, sont désactivées. « Le rootkit contourne également tous les mécanismes de sécurité de Windows, y compris le message du User Account Control (UAC) de Vista et de Seven, » commente-t-il sur son blog. Microsoft et Chester Wisniewski font remarquer que les attaques peuvent également être menées sans l'aide de clés USB. Les fichiers «Raccourcis » affectés peuvent aussi être diffusés via les réseaux partagés ou les modes de partages à distance WebDAV, » a déclaré le consultant de Microsoft. «Ça rend la situation encore pire, » a-t-il déclaré.
Microsoft n'a pas annoncé de calendrier particulier pour corriger cette vulnérabilité «zero-day » avant son prochain Patch Tuesday prévu pour le 10 août. Pour l'instant, Microsoft conseille aux utilisateurs de désactiver l'affichage des raccourcis pour bloquer les attaques et de ne pas utiliser le service WebClient. Ces deux actions nécessitent cependant la modification du Registre de Windows, une manipulation que la plupart des utilisateurs rechignent à faire de crainte de bloquer leur ordinateur. La désactivation des fichiers de raccourcis rend aussi plus difficile le lancement ou l'ouverture des applications et des documents. Pour ceux encore sous Windows XP SP2, qui ne bénéficie plus de support technique depuis mardi dernier, ce conseil sera l'unique aide qu'ils recevront de la part de Microsoft. « Windows 2000 et Windows XP SP2 ne figurent même plus dans la liste des logiciels concernés par le bug, » a déclaré Chester Wisniewski. «Pourtant, ils sont certainement encore plus vulnérables, » a-t-il ajouté. Microsoft a également cessé tout support à Windows 2000 depuis la semaine dernière.
Abandonner Windows 2000 et XP SP2 ?
Wolfgang Kandek, le directeur technique de Qualys, est au moins aussi inquiet que Chester Wisniewski au sujet de XP SP2 et de Windows 2000, les deux systèmes qui ne seront pas corrigés. « Nous pensons que les pirates profitent justement de ce trou de sécurité pour viser ces deux versions » a-t-il déclaré samedi. Microsoft a fait savoir de son côté que toutes les versions de Windows prises en charge, y compris Windows XP SP3, Windows Vista, Server 2003, Windows 7, Server 2008 et Server 2008 R2, sont concernées par le bogue. Les versions bêta de Windows 7 SP1 et Windows Server 2008 R2 SP1, livrées la semaine dernière, présentent également un risque. Les utilisateurs de Windows XP SP2 doivent mettre à niveau vers XP SP3 pour bénéficier du patch quand le correctif du bug « raccourci » sera disponible. C'est aussi une manière pour Microsoft de forcer la mise à jour vers le SP3...