Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sophos : Une vulnérabilité « jour zéro » permet à un malware de s’exécuter automatiquement depuis une clé USB

juillet 2010 par Sophos

Les experts de Sophos alertent les utilisateurs de la découverte d’un rootkit capable de s’auto-installer automatiquement à partir d’une clé USB sur un PC à jour de tous les correctifs de sécurité, même si son propriétaire a désactivé les fonctions Autorun et Autoplay de Windows.

Le rootkit W32/Stuxnet-B exploite une vulnérabilité présente dans la manière dont Windows traite les fichiers de raccourci en .LNK, qui lui permet de s’exécuter automatiquement lorsque Windows Explorer accède à la clé USB. Une fois qu’il est en place, le rootkit entre en ‘mode discret’, masquant sa présence sur le PC infecté.

« Des menaces telles que le tristement célèbre ver Conficker se sont déjà diffusées avec succès via des clés USB dans le passé, mais pouvaient en partie être bloquées en désactivant Autoplay. Le risque est que d’autres malwares profitent à leur tour de la brèche ‘jour-zéro’ exploitée par le rootkit Stuxnet, ce qui porterait le problème à un tout autre niveau », commente Michel Lanaspèze, Directeur Marketing et Communication de Sophos Europe du Sud. « Le programme est toujours en cours d’analyse par la communauté de la sécurité, mais certains indices troublants suggèrent déjà qu’il pourrait essayer d’accéder à des données spécifiques aux systèmes SCADA de Siemens, un logiciel qui contrôle des infrastructures nationales critiques. »

Curieusement, les fichiers suspects portent la signature de Realtek Semiconductor Corp., un fournisseur majeur d’équipements informatiques.

« Il est important de ne pas sur-réagir à cette menace, car le programme vient seulement d’être découvert, et la communauté de la sécurité n’a pas encore complètement établi l’ampleur du risque pesant sur les systèmes SCADA. Mais le fait même que ceux-ci soient concernés signifie que cette attaque doit être examinée de près. Les yeux vont également se tourner vers Microsoft pour guetter la manière dont la compagnie va réagir à ce qui apparaît comme une nouvelle vulnérabilité non corrigée dans son code et exploitée par les pirates. »

Sophos détecte le fichier malveillant impliqué dans l’attaque sous le nom de W32/Stuxnet-B.




Voir les articles précédents

    

Voir les articles suivants