Comme l'a fait remarquer Andrew Storms, directeur des opérations de sécurité chez nCircle Security, le bulletin MS10-046 accompagnant la sortie du patch pour le bug des raccourcis dans Windows ne contenait pas de surprise. D'une part Microsoft a livré le correctif d'urgence, palliant à ce bug exploité depuis plusieurs semaines par les pirates, à la date annoncée. D'autre part, l'éditeur s'en est aussi tenu à son calendrier qui exclut désormais Windows XP Service Pack 2 (SP2) et Windows 2000 de tout support depuis trois semaines. « La seule vraie question était de savoir si Microsoft serait tenté de publier un correctif pour les systèmes d'exploitation non pris en charge, » a-t-il déclaré, en faisant référence aux version XP SP2 et à Windows 2000. « Il y a énormément de gens qui utilisent encore SP2, et le système a été tout bonnement mis hors circuit,» a t-il fait valoir. « Typiquement, des solutions comme les Scada fonctionnent généralement sur les anciennes versions de l'OS. J'ai aussi pensé que les vendeurs de Scada feraient pression sur Microsoft pour livrer un correctif pour SP2. »
Un vers très dangereux pour les plates-formes Scada
La vulnérabilité corrigée aujourd'hui a été décrite pour la première fois mi-juin par VirusBlokAda, une société biélorusse, peu connue, spécialisée dans les questions de sécurité. Mais l'affaire avait commencé à attirer l'attention seulement après un papier publié le 15 Juillet par le blogueur Brian Krebs sur le sujet. Le lendemain, Microsoft reconnaissait que des attaquants exploitaient déjà la faille en utilisant le ver Stuxnet connu pour cibler les PC sous Windows des systèmes de contrôle à grande échelle Scada de Siemens (Supervisory Control and Data Acquisition, en français télésurveillance et acquisition de données), utilisés dans l'industrie et les services publics.
La faille utilisait la manière dont Windows gère les raccourcis, ces petits fichiers affichés sous forme d'icônes sur le bureau, dans la barre d'outils et dans le menu Démarrer, qui facilitent le lancement d'applications et de documents. Les pirates ont fabriqué des raccourcis malveillants, capables d'exécuter automatiquement des malware à chaque fois qu'un utilisateur affichait le raccourci ou un dossier contenant le raccourci piégé. Le code était public depuis le mois dernier, et Microsoft et d'autres ont repéré plusieurs campagnes d'attaques profitant de la faille. En même temps que l'éditeur de Redmont annonçait la date de disponibilité du correctif, il signalait que même le dangereux malware de la famille « Sality » avait exploité le bogue du raccourci.
Mise à jour de la .dll Shell32
Microsoft a également précisé aux utilisateurs qui avaient mis en oeuvre la solution de contournement recommandée de réactiver l'affichage de tous les raccourcis après avoir appliqué le patch. Certains rapports signalent des problèmes et conseillent de rétablir l'affichage avant l'application du correctif. Parce que le patch de l'éditeur repose sur une nouvelle version de la Shell32.dll, il est important que la mise à jour soit bien effectuée : cette librairie logicielle abrite de nombreuses API de fonctions pour Windows et une mauvaise mise à jour pourrait bloquer certaines machines avec le fameux écran bleu de la mort. Andrew Storms pense pour sa part qu'il n'y a rien à craindre. « En janvier, Microsoft a réussi à livrer un patch pour corriger un bug du noyau de Windows en 20 jours. » Pour Jason Miller, responsable de la sécurité chez Shavlik Technologies, même s'il ne s'attendait pas un patch d'urgence du fait de la date prochaine des mises à jour de sécurité régulières fixée au 10 août, estime que « Microsoft a évalué les risques en sortant ce patch intermédiaire.» Précisons que plusieurs éditeurs d'antivirus comme Sophos et G Data ont été plus rapides en publiant un outils destiné à bloquer le vers Stuxnet (voir illustration).
Le correctif, disponible pour toutes les versions encore supportées de Windows, dont XP SP3, Vista, Windows 7, Server 2003, Server 2008 et Server 2008 R2, peut être téléchargé et installé via Microsoft Update et Windows Update Services, ainsi que via Windows Server Update Services.