Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Kaspersky Lab et Microsoft coopèrent pour colmater une nouvelle faille « zero-day » exploitée par Stuxnet

septembre 2010 par Kaspersky

Kaspersky Lab annonce avoir coopéré avec Microsoft pour colmater avec succès une sérieuse faille dans Microsoft Windows. Classée de type « zero-day » lors de sa détection, cette vulnérabilité a été exploitée par le ver Stuxnet. La particularité de Worm.Win32.Stuxnet réside dans le fait qu’il s’agit à la base d’un outil d’espionnage industriel : le ver est en effet conçu pour accéder au système d’exploitation WinCC de Siemens, responsable de la collecte de données et du suivi de la production.

Dès sa première apparition en juillet 2010, les spécialistes de la sécurité informatique ont surveillé Worm.Win32.Stuxnet très étroitement. Les experts de Kaspersky Lab ont ainsi tout mis en œuvre pour étudier les capacités de Stuxnet et ont découvert que, outre une vulnérabilité dans le traitement des fichiers LNK et PIF détectée à l’origine, le ver exploite également quatre autres failles dans Windows.

La première est la faille MS08-067, déjà exploitée par le ver de sinistre mémoire Kido (Conficker) début 2009. Les trois autres, jusque-là inconnues, sont présentes dans les versions actuelles de Windows.

Au-delà de MS08-067, Stuxnet se propage également par le biais d’une autre vulnérabilité, touchant le service Windows Print Spooler et permettant d’envoyer du code malveillant à un ordinateur distant pour y être exécuté. En raison des caractéristiques de cette faille, l’infection peut contaminer les machines par le canal d’une imprimante, y compris via un accès partagé en réseau. Après avoir infecté un ordinateur connecté au réseau, Stuxnet tente ensuite de se transmettre à d’autres postes.

Dès que les experts de Kaspersky Lab ont repéré cette vulnérabilité, ils l’ont signalée à Microsoft qui, après avoir mené sa propre analyse, est arrivé aux mêmes conclusions. La faille a été nommée « Print Spooler Service Impersonation Vulnerability » et classée « critique ». L’éditeur s’est immédiatement mis au travail pour colmater la brèche et a publié le correctif MS10-061 le 14 septembre 2010.

Les experts de Kaspersky Lab ont détecté encore une autre vulnérabilité « zero-day » dans le code de Stuxnet. De type EoP(« Elevation of Privilege »), cette faille pourrait être exploitée par le ver pour prendre le contrôle total de l’ordinateur infecté. Une vulnérabilité similaire de type EoP a été découverte par les spécialistes de Microsoft. Ces deux failles seront corrigées lors des futures mises à jour de sécurité des systèmes d’exploitation Windows.

Alexander Gostev, Chief Security Expert de Kaspersky Lab, a joué un rôle actif dans l’identification de la nouvelle menace, coopérant étroitement avec Microsoft à la résolution du problème. Il a ensuite publié une note d’information à ce sujet sur le blog Securelist. Les données collectées durant l’analyse de Stuxnet, notamment les détails concernant les modes d’exploitation des vulnérabilités en question, seront présentées lors de la conférence Virus Bulletin au Canada courant septembre.

« Stuxnet est le premier malware à exploiter simultanément quatre vulnérabilités », souligne Alexander Gostev. « C’est ce qui fait sa spécificité : il s’agit de la première menace à laquelle nous soyons confrontés et qui recèle autant de mauvaises surprises dans un même programme. Avant sa détection par nos experts, ce ver aurait pu rapporter une fortune à des pirates. Etant donné que Stuxnet utilise également les certificats numériques Realtek et Jmicron – sans oublier que sa finalité ultime est de voler les données stockées dans le système Simatic WinCC SCADA, on peut considérer cette menace comme véritablement sans précédent. Force est de reconnaître que les auteurs de malware font montre de remarquables compétences en programmation. »

Tous les produits Kaspersky Lab sont en mesure de détecter et neutraliser avec succès le ver Worm.Win32.Stuxnet.


Voir les articles précédents

    

Voir les articles suivants