Vulnérabilité Word : attaques ciblées contre des entreprises

Commentez les toutes dernières actualités informatiques
Scanner Windows pour détecter les erreurs de registre

Ce que nous vous conseillons :

1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs.

2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons
    fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.



Messagepar JoShuA » 22 Mai 2006, 15:28

Nous vous en parlions la semaine dernière, une faille non corrigée dans Word est exploitée en ce moment même pour attaquer des entreprises de manière très sélective. Menées à l'aide de courriers piégés, ces opérations se sont révélées particulièrement adroites et difficiles à repérer. Mais les éditeurs d'antivirus commencent à mettre leurs produits à jour afin de détecter l'exploitation de cette vulnérabilité.

Une vulnérabilité non corrigée dans Word a déjà de quoi rendre nerveux les responsables de la sécurité informatique. Mais lorsqu'elle est exploitée en conjonction avec un peu de fourberie, un brin de paranoïa et surtout beaucoup de discrétion, le cocktail devient alors franchement détonnant. Et ce cocktail, c'est précisément ce qu'ont subi dernièrement une poignée d'entreprises aux Etats-Unis. Il s'agit d'opérations furtives, personnalisées et surtout à petite échelle afin de ne pas attirer l'attention.

Tout commence par des courriers envoyés à quelques personnels de l'entreprise. Première astuce des attaquants : le nom de domaine d'où provient l'e-mail est proche de celui de l'entreprise afin de ressembler à un courrier interne. Ces domaines ont donc été déposés spécifiquement pour chaque entreprise ciblée, avant l'attaque. Les e-mails contiennent un document Word piégé conçu pour exploiter une vulnérabilité jusqu'à présent inconnue - et donc non corrigée - du célèbre traitement de texte. Bien entendu, ces e-mails sont présentés de sorte à ce que l'utilisateur pense avoir à faire à un quelconque document de travail (avec par exemple des sujets tels que "Notice" ou "RE: Plan for final agreement").

Un code malicieux propre sur lui

Une fois le document ouvert, le piège, lui, se referme : un code malicieux s'exécute grâce à un dépassement de pile dans Word. Il dépose tout d'abord un bot sur la machine, puis il créé octet par octet un nouveau cheval de Troie sur le disque dur, qu'il exécute ensuite. C'est ce programme qui fera le sale boulot. Mais auparavant, le code malicieux contenu dans le document Word réalise une dernière tâche : il s'efface lui-même du fichier ! Bien entendu, l'exploitation de la vulnérabilité fait crasher Word. Le traitement de texte affiche alors une erreur, indique que le fichier est peut-être corrompu (ce qui était le cas à l'origine) et propose d'essayer de l'ouvrir à nouveau. Cette fois-ci, puisque le code malicieux a recréé une version propre du document Word, le fichier s'ouvre sans difficulté.

Le bot déposé initialement sur le PC se charge alors de collecter un maximum d'informations sur son environnement (niveau de correctifs, type d'antivirus installé, contenu du dossier "Mes Documents", liste des programmes qui démarrent automatiquement, configuration d'Internet Explorer...). Le SANS Institute, qui a procédé à l'analyse de l'une de ces attaques, ne donne cependant aucune indication quant à l'utilisation qui est faite de ces informations par la suite. Le cheval de Troie, en revanche, a été analysé en profondeur : il utilise des techniques de rootkits afin de dissimuler ses composants sur le système et communique avec un serveur hébergé en Chine. Ces communications se font via une connexion HTTP afin de passer outre les pare-feu éventuels de l'entreprise. Enfin, une fois installé, le parasite offre le contrôle total du PC au pirate (exploration du disque, captures d'écran, exécution de programmes, accès à la ligne de commande, etc.). Aux premières heures de l'attaque, lorsque le SANS a été alerté par une entreprise victime de ce cheval de Troie, aucun antivirus parmi ceux utilisés par Virus Total n'était capable de le détecter.

Les éditeurs d'antivirus ont cependant désormais fait leur travail : McAfee, Symantec, F-Secure et Trend Micro ont par exemple ajouté à leur base de signatures l'exploit Word ou l'un ou l'autre des codes malicieux. De son côté, Microsoft a fait de même pour son service "Windows Live Safety Center". Pour ce qui est du correctif officiel, en revanche, il faudra patienter : l'éditeur affirme qu'il s'agit d'une attaque "de très petite envergure" et que cela peut donc attendre le 13 juin prochain, date de la prochaine livraison des correctifs. D'ici là, mettez donc vos antivirus à jour, et méfiez-vous des documents Word non sollicités. Pour le reste, puisqu'on nous dit que c'est une attaque de très petite envergure...

Plus d'informations :
La description techniquedu cheval de Troie (en anglais).
La discussion de l'attaque sur le blog de Microsoft (en anglais).


Source : Indexel
Avatar de l’utilisateur
JoShuA
Modérateur
 
Messages: 7246
Inscrit le: 02 Jan 2002, 15:37
Localisation: IdF

Retour vers Les News de Forum-Windows

Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 2 invités

  •  Liens commerciaux