KB 2286198

[Gof]

Bonsoir tout le monde,

 

Un sujet dédié à cette mise à jour Microsoft importante. Pour ceux qui n'ont pas suivi l'actualité sécu, évoquée dans le forum News, l'actualité Windows de ces deux dernières semaines a été marquée par l'apparition d'un malware assez nouveau quant à sa méthode de propagation : Stuxnet.

 

Pour résumer, ce malware se propage notamment par clé USB. Pour les prudents ayant appliqué et compris certaines règles de prudence énoncées dans le guide de sécurisation des Windows face aux menaces des supports amovibles (en manuel ou automatiquement grâce à USB-SET par exemple), il faut savoir que ce malware n'exploite pas l'ordinaire et classique méthode de l'autorun.inf pour se propager, mais une vulnérabilité Windows associée au format des raccourcis. Ainsi, un raccourci spécialement forgé suffisait à exécuter le malware. Comment ça ? Eh bien, la seule présence de ce raccourci sur la clé suffisait lorsqu'on ouvrait le lecteur via l'explorateur à exécuter l'infection. La réponse s'est effectuée en trois temps.

 

1. La menace s'est d'abord révélée théorique puisque la première infection trouvée par l’éditeur Biélorusse VirusBlokAda mi-juin se destinait à cibler des infrastructures industrielles à des fins d'espionnage ou de sabotage (?). Microsoft ne percevant pas d'urgence, et sans doute face à la complexité de la mise en œuvre du correctif, a donc suggéré de désactiver certaines fonctions windows, à l'aide de FixIT (ces petits programmes Microsoft automatisant la manipulation), ou en manuel pour les plus débrouillards.

 

• Le Fixit pour activer la mesure de protection (Fixit pour désactiver la mesure).
   
  
• La méthode en manuel : cf workarounds du Microsoft Security Advisory (2286198) - Vulnerability in Windows Shell Could Allow Remote Code Execution - du 16/07/10.
  

 

L'inconvénient majeur, et sans doute peu compris des utilisateurs d'alors, était que tous les raccourcis perdaient leur icône et se retrouvaient avec une petite feuille blanche à la place :

 

2. Cet inconvénient étant peu supporté par les usagers ordinaire et ne percevant pas la dangerosité de la vulnérabilité, deux éditeurs Antivirus ont publié leur outil gratuit permettant de partiellement combler cette vulnérabilité : c'est à dire que la vulnérabilité n'était pas originellement comblée, mais partiellement traitée pour pallier à toute exécution d'un support amovible (menace la plus avérée).

 

• Windows Shortcut Exploit Protection Tool - Sophos
   
  
• G Data LNK-Checker
  

 

C'est alors que la méthode a été exploitée à des fins plus généralistes à destination des PC domestiques, pour propager d'autres types d'infection connues comme Sality et consorts. Les remontées des éditeurs Antivirus et observateurs de la scène Sécurité se faisaient plus alarmantes.

 

3. Enfin, depuis aujourd'hui, Microsoft a enfin sorti son patch de correction à destination des systèmes encore supportés par le processus d'entretien (ainsi un XP SP2 ne sera pas pris en compte). C'est donc une mise à jour importante hors créneau habituel de distribution des mises à jour Windows. Vous la trouverez sur le lien suivant : Microsoft Security Bulletin Summary for August 2010, Published: August 02, 2010, Version: 1.0.

 

Si vous n'avez pas suivi cette actualité (évoquée plus haut) et que vous n'avez rien entrepris encore, il suffit de télécharger la mise à jour correspondant à votre système (cf la partie Windows Operating System and Components) en ignorant les méthodes temporaires évoquées dans les points 1 et 2. Vous pouvez certes attendre quelques temps qu'elle vous soit proposée en mise à jour automatique via le circuit de distribution habituel, mais ce serait faire preuve d'imprudence.

 

Si vous aviez déjà appliqué la méthode 1, vous pouvez réactiver les fonctions neutralisées après avoir appliqué le patch. Vous récupérerez ainsi vos icônes de raccourci.

 

Pour les utilisateurs de systèmes qui ne sont plus pris en compte, je vous recommande où d'opter pour la méthode (sans doute dérangeante) proposée en 1, voire d'opter à défaut pour un des deux outils évoqué en 2.

 

--------------------------------------------------------

 

Je vous mets ci-dessous -pour les plus curieux n'ayant pas suivi l'actu- les liens relatifs à cette infection et vulnérabilité depuis le début de l'histoire (3 semaines).

 

=> Windows zero-day vulnerability uses shortcut files on USB. 15/07/10. « The security community was buzzing today about a potential new zero-day vulnerability in Windows. The attack that exploits the vulnerability was originally discovered by VirusBlokAda in Belarus. It contains several components and is still being analyzed by SophosLabs (...). » La finalité de l'infection en elle-même semble très spécifique, mais ce qui est intéressant c'est le déclenchement exploitant une vulnérabilité Microsoft via le .lnk forgé sur le support USB. Du coup pas mal de pages en relation intéressantes à explorer.

Source :

Billets en relation :

Trojan-Spy.0485 And Malware-Cryptor.Win32.Inject.gen.2 Review [PDF] :

12/07/10. Malware uses a new vulnerability for self-propagation :

15/07/10. Myrtus and Guava, Episode 1 (sur 3) :

15/07/10. About TmpHider/Stuxnet #1 :

15/07/10. TrojanDropper:Win32/Stuxnet.A :

16/07/10. Un système de contrôle industriel ciblé par un code malicieux :

16/07/10. Experts Warn of New Windows Shortcut Flaw — Krebs on Security : Experts Warn of New Windows Shortcut Flaw — Krebs on Security

16/07/10. Raccourcis sur clés USB : un 0-Day Windows :

16/07/10. CERTA-2010-ALE-009-001 :

16/07/10. Windows zero-day attack works on all Windows systems :

16/07/10. Microsoft Security Advisory (2286198) Vulnerability in Windows Shell Could Allow Remote Code Execution :

 

=> The Stuxnet Sting. 16/07/10. « For the past week or so, we've been closely tracking a new family of threats called Stuxnet (a name derived from some of the filename/strings in the malware - mrxcls.sys, mrxnet.sys). In the past few days, it has become a popular topic of discussion amongst security researchers and in the media. First and foremost, we have recently released one additional signature for this threat, and urge our readers to be sure that you've got the latest anti-malware definition updates installed (...). »

Source : s.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx

Billets en relation :

17/07/10. Exploit Artifacts redux :

17/07/10. Windows zero-day exploit?: USB storage + .lnk files + file explorer = FAIL :

17/07/10. VeriSign Revokes Certificate Used to Sign Stuxnet Malware :

18/07/10. CVE-2010-2568 Lnk shorcut :

17/07/10. Windows 0Day LNK et un nouveau cas APT ? :

18/07/10. (Windows) Shellshocked, Or Why Win32/Stuxnet Sux… :

18/07/10. Mitigating .LNK Exploitation With Ariad :

18/07/10. WIN32/STUXNET .Lnk Exploit [vidéo]

 

http://www.youtube.com/watch?v=j9CwoTsr9mA

Merci à l'auteur de la vidéo d'avoir réalisé cette démonstration (ce n'est pas moi). Ce dernier remercie ivan pour sa lib

 

=> 0-day LNK : AppLocker à la rescousse. 20/07/10. « Il n'aura échappé à personne que ces derniers jours ont principalement été occupés par le malware Stuxnet et sa méthode de propagation inédite utilisant une vulnérabilité jusqu'alors inconnue dans la façon dont Windows traite les icônes dans les fichiers LNK. Sous Windows 7, l'utilisation d'AppLocker permet, en partie, de se protéger (...). »

Source :

 

=> CPLINK : après les fichiers LNK, voici les PIF, pages web et documents . 21/07/10. « L’actualité sur le 0-Day touchant les systèmes Windows permettant l’exécution de code sans intervention de l’utilisateur au travers de fichiers de raccourci (.LNK) ne cesse de s’étoffer et l’analyse de la vulnérabilité CVE-2010-2568 continuant, on découvre de nouvelles méthodes d’exploitation de la faille. Cet exploit (que Sophos a nommé et détecte sous le nom de CPLINK) est désormais bien connu pour permettre l’exploitation via des clés USB, partages réseau et partages WebDav (...). »

Source :

Billets en relation :

20/07/10. W32.Stuxnet Installation Details :

21/07/10. Stuxnet Memory Analysis and IOC creation :

22/07/10. Distilling the W32.Stuxnet Components :

23/07/10. Myrtus and Guava, Episode 4 :

23/07/10. Myrtus and Guava, Episode 5 :

25/07/10. Another Signed Stuxnet Binary :

 

=> LNK: quand petite faille se fait grande menace. 21/07/10. « Découverte par l’éditeur Biélorusse VirusBlokAda mi-juin, la faille des liens Windows (.lnk) exploitée par le ver Stuxnet apparaît aujourd’hui sous un jour nouveau, après que Siemens a reconnu que celui-ci vise ses logiciels pour infrastructures industrielles automatisées, les Scada. Une menace particulièrement sérieuse, pour certains, alors que ces systèmes ne contiennent pas de données immédiatement monétisables telles que des numéros de cartes de crédit ou des secrets industriels. Et d’y voir un objectif simple : le sabotage (...). » Un bon point des enjeux de l'affaire, sans entrer dans les détails techniques.

Source :

 

=> « rootkit .lnk », déchaînement de réactions en chaînes. 22/07/10. « L’attaque du rootkit lnk –plus médiatisé pour les subtiles innovations qu’il contient plutôt que par sa dangerosité réelle- provoque bien des réactions, certaines attendues, d’autres pour le moins surprenantes. (...). »

Source :

 

 

=> W32.Stuxnet – Network Operations. 25/07/10. « Previously in our series of blogs about Stuxnet we wrote about the installation details and the numerous files that are associated with the threat. In this installment I will discuss the network communication and command and control functionality of W32.Stuxnet. Although some of the tasks that the threat performs are automated, other tasks are performed only after the threat has connected to the command and control server and received specific instructions. It is this aspect of the threat that will be discuss here (...). » Suite Stuxnet. Voir aussi la partie "outils" de la brève actu. Il commence à avoir urgence de traiter la vulnérabilité : deux outils gratuits ont édité par des éditeurs AV, et Microsoft promet un patch dès lundi.

Source :

Billets en relation :

26/07/10. LNK Vulnerability: Chymine, Vobfus, Sality and Zeus :

26/07/10. Windows Shortcut Exploit Protection Tool - Sophos :

27/07/10. Faille fichiers .lnk : protection gratuite dénigrée par MS :

27/07/10. G Data fixe la faille des raccourcis Windows :

30/07/10. Stuxnet, malicious .LNKs, ...and then there was Sality : s.technet.com/b/mmpc/archive/2010/07/30/stuxnet-malicious-lnks-and-then-there-was-sality.aspx

 

=> Windows Shortcut Exploit Protection Tool - Sophos. 26/07/10. « IT security and data protection firm Sophos has today released a free tool to protect against a Windows zero-day vulnerability that is being actively exploited to infect computers. The Sophos Windows Shortcut Exploit Protection Tool protects against a high profile vulnerability that allows malicious hackers to exploit a bug in the way that all versions of Windows handles .LNK shortcut files. If Windows just displays the icon of an exploited shortcut file, malicious code can be executed - without requiring any interaction by the user. But Sophos's free tool, available for download from www.sophos.com/shortcut, intercepts shortcut files that contain the exploit, warning of the executable code that was attempting to run. That means it will stop malicious threats which use the vulnerability if they are on non-local disks, such as a USB stick (...). » Deux éditeurs sortent un outil pour pallier l'absence de Patch Windows à la nouvelle vulnérabilité. Microsoft vient d'annoncer d'ailleurs l'imminence de la sortie d'un patch pour corriger la vulnérabilité, hors délai habituel de distribution, face à la montée en puissance du vecteur. Que suggérer alors ? Pour les XP SP3 et supérieurs, je vous incite à patienter en début de semaine prochaine en attendant le patch ; d'ici là prudence est de rigueur dans vos comportements (téléchargement, clé usb, etc.). Pour les autres (xp sp2 et antérieurs), je vous recommande l'installation et l'utilisation d'un des deux outils mentionnés ci-dessous.

Source :

Outil :

Windows Shortcut Exploit Protection Tool :

=> Windows shortcut exploit | Windows Zero-Day | CPLINK | Shortcut Exploit - Sophos

Alternative :

27/07/10. G Data LNK Checker : shfile.php?docID=8832

Billet en relation :

27/07/10. Sophos et G Data sortent des palliatifs à la faille Windows utilisée par Stuxnet :

[Le Novice °¿°]

 

3. Enfin, depuis aujourd'hui, Microsoft a enfin sorti son patch de correction à destination des systèmes encore supportés par le processus d'entretien (ainsi un XP SP2 ne sera pas pris en compte). C'est donc une mise à jour importante hors créneau habituel de distribution des mises à jour Windows. Vous la trouverez sur le lien suivant : Microsoft Security Bulletin Summary for August 2010, Published: August 02, 2010, Version: 1.0.

 

Si vous n'avez pas suivi cette actualité (évoquée plus haut) et que vous n'avez rien entrepris encore, il suffit de télécharger la mise à jour correspondant à votre système (cf la partie Windows Operating System and Components) en ignorant les méthodes temporaires évoquées dans les points 1 et 2. Vous pouvez certes attendre quelques temps qu'elle vous soit proposée en mise à jour automatique via le circuit de distribution habituel, mais ce serait faire preuve d'imprudence.

 

Bonsoir, et merci Gof pour tes infos !

Pour mon Windows XP ... la MAJ est ce soir disponible sur Windows Update ( ou Microsoft Update )

C'est fait et c'est OK !

 

Mises à jour prioritaire hors période, du lundi 2 aout 2010

 

Mise à jour de sécurité pour Windows XP (KB2286198)

Taille habituelle du téléchargement : 553 Ko , inférieur à 1 minute

Un problème de sécurité a été identifié.

Ce problème pourrait permettre à une personne distante malveillante non authentifiée de porter atteintre à votre système et d'en prendre le contrôle.

Vous pouvez renforcer la protection de votre système en installant cette mise à jour de Microsoft.

Une fois cette mise à jour installée, vous serez peut-être amené à redémarrer votre système.

 

...

[Gof]

Merci Le Novice °¿° de la précision