L’alerte de sécurité lancée le 23 août par Microsoft est différente de celles que publie habituellement l’éditeur. La faille ne concerne pas seulement les PC tournant sur les systèmes d’exploitation maison. Cette vulnérabilité, connue sous le nom de « DLL preloading » ou « binary planting », peut aussi bien affecter les utilisateurs d’Unix car le code malveillant se propage au travers d’applications mal sécurisées.
Des bibliothèques de fonctions corrompues
Pour se lancer certains programmes font appel à une bibliothèque. Y sont regroupées des fonctions qui peuvent être utilisées par plusieurs applications. La méthode d’infection décrite dans l’alerte de sécurité de Microsoft consiste à remplacer les bonnes DLL (ou .so sur Unix) par une bibliothèque de fonctions infectées. Le tout en faisant croire aux programmes les utilisant qu’ils font appel aux vrais fichiers. « Pour que [la propagation] soit un succès, l’application doit appeler la bibliothèque uniquement par son nom et non en utilisant son chemin complet [précisant sa localisation sur l’ordinateur, NDLR] », détaille Microsoft dans son billet.
Le procédé n’est pas nouveau. Mais il fonctionnait jusque-là en local. Récemment des chercheurs du département en informatique de l’université de Davis en Californie ont prouvé que la technique pouvait être utilisée sur un réseau. Toutes les applications connectées à Internet et faisant appel à des bibliothèques telles que les navigateurs peuvent être vulnérables à cette faille.
Selon l’entreprise slovène Acros Security, c’est cette technique qui aurait été utilisée pour contaminer récemment les utilisateurs d’iTunes. « Le lien pointant vers une fausse bibliothèque dynamique sur l’iTunes pour Windows a pour conséquence de permettre à un pirate de télécharger une DLL malveillante et de l’exécuter sur les disques locaux ou les réseaux partagés », explique le spécialiste de la sécurité dans un communiqué détaillant l’attaque.
Un outil en attendant le patch ?
Dans son bulletin, Microsoft semble minimiser les effets de la contamination sur ses applications. « Nous poursuivons notre enquête pour savoir de quelle manière ce nouveau vecteur de contamination infecte les produits Microsoft. Comme toujours, s’il s’avérait que cette publication affecte n’importe lequel de nos produits nous réagirions de manière appropriée. » Dans leur étude pourtant, les chercheurs californiens auraient comptabilisé quelque 1 700 DLL non sécurisées dans 28 logiciels courants de l’éditeur de Redmond.
En attendant, le géant de l’informatique propose de télécharger un outil bloquant le chargement de DLL sur des répertoires distants depuis des clés USB ou encore des sites Web.
Afin de limiter les risques potentiels d’infection, l‘éditeur conseille de changer le nom des DLL potentiellement vulnérables. Ou bien encore de désactiver le client WebDAV (utilisé pour simplifier la gestion des fichiers distants) sur les postes de travail. Et de faire de même avec le service WebClient. Enfin, Microsoft estime qu’il faut bloquer les ports TCP 139 et 445 sur le firewall. Une série de mesures radicales que ne sont pas à même de réaliser les utilisateurs novices en informatique.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.