Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

GDATA : Les fichiers de raccourci Windows, vecteurs d’infection

juillet 2010 par G DATA

Très récemment, des rapports ont été publiés au sujet d’un nouveau genre de malware se propageant par des lecteurs amovibles comme des clés USB. Un malware exploite une nouvelle vulnérabilité découverte dans les fichiers de raccourci, qui permet l’exécution de code aléatoire dans le système. Microsoft a officiellement reconnu la vulnérabilité et publié un avertissement de sécurité.

Le malware, détecté par G Data comme un Win32.Worm.Stuxnet.A, est malheureusement un ver (et un rootkit) qui dispose de nombreuses ressources. Il peut se propager en utilisant une vulnérabilité 0-Day décrite ici et également mentionnée par le CVE (Common Vulnerabilities and Exposures) comme CVE-2010-2568.

Sans antivirus, Windows (principalement, le Shell de windows) peut être dupé dans l’exécution du code malveillant (un DLL) car le malware se camoufle dans un fichier de raccourci (.LNK).

Le problème est que le Shell de Windows n’analyse pas le raccourci avant que le graphisme ne soit chargé. Le code malveillant s’exécute alors sans qu’il soit nécessaire de cliquer sur le raccourci ! Il suffit par exemple que l’utilisateur ouvre le dossier contenu sur un support de stockage, pour accéder à n’importe quel fichier légitime, pour qu’il affiche aussi le raccourci et soit alors infecté par ce dispositif.

A noter également que les périphériques USB ne sont pas les seuls vecteurs potentiels : les partages réseau et les partages WebDAV peuvent également être employés pour distribuer les .LNK malveillants. Des plates-formes affectées (essentiellement toutes les versions actuelles de Windows) sont mentionnées dans l’avertissement de sécurité. Et il est probable qu’il n’y ait pas de solutions pour XP SP2 et Windows 2000, qui ne sont plus supportés depuis quelques jours.

Microsoft suggère plusieurs solutions pour limiter les risques :

Désactiver l’Autorun de Windows

Utiliser des comptes à droits limités (privilégier les comptes utilisateurs standards aux comptes administrateurs)

Bloquer les connexions SMB sur le pare-feu pour réduire le risque de partage de fichiers.

Désactiver l’affichage des raccourcis (description ici)

Désactiver le service WebClient (description ici)

En termes de conclusion, G Data souhaite rappeler qu’il est indispensable de mettre régulièrement à jour son système et l’ensemble de ses applications.

L’installation d’un antivirus est aussi fortement conseillée.




Voir les articles précédents

    

Voir les articles suivants