Vulnérabilité critique non corrigée Widows...
Résolu
jalobservateur
Messages postés
7372
Date d'inscription
Statut
Contributeur sécurité
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Exploitation malveillante d'une faille et ce, à grande échelle a été découverte, justement par des utilisateurs auc prise avec ladite exploitation.
Exploite une erreur dans le composant 'Windows Shell'.
Elle se caractérise par: Une exécution à distance du code malicieux sur l'ordinateur de la victime lors de l'affichage d'un raccourci (fichier .lnk) apparaissant sur le bureau et qui est bien-sûr, piégé.
Étant donné qu'aucun correctif n'est appliquable, car non existant encore, il est avisé de désactiver l'affichage des icônes dans les raccourcis.
NB: Cette manipulation empêche l'exploitation de la faille selon le procédé révélé publiquement, mais ''modifie également l'apparence des raccourcis légitimes''
Voici comment procéder:
1:Cliquez sur le bouton "démarrer" puis choisir "Exécuter.'' puis ...>> entrez "Regedit" et"OK" .
2: Parcourez l'arborescence de l'Editeur de registre de Windows ''colonne de gauche'' , vous rendant à la clé HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler, puis sélectionnez.
3: Maintenant dans la barre dee menus, cliquez sur "Fichier" puis "Exporter".
Nommez le fichier 'exemple' "Sauvegarde_LNK_Icon.reg".
Alors, cliquez le bouton "Enregistrer",pour ainsi faire une sauvegarde qui ensuite vous permettra restaurer ce paramètre ''quand le correctif disponible''.
4: Sélectionnez la valeur "par défaut" correspondant à la clef dans la colonne de droite, puis faire un clic droite, sur choisir "Modifier" .
Enfin, supprimez le contenu du champs "Données de la valeur" ''laissez en blanc''.
5. Redémarrez votre l'ordinateur afin que la modification soit prise en compte.
------------------------------------------------------------------------------------
Ou alors si vous êtes le seul et unique utilisateur de votre machine et que vous ne désirez pas faire ce qui précède...
Faites du ménage sur votre bureau ''en mettant dans la barre rapide'' les raccourcis que vous utilisez puis si un nouveau se pointe seul comme un con sur votre bureau,^-^ alors vous saurez qu'il sagit de la visibilité de cette faille explotée et non corrigée.
:)
Voilà.
Exploitation malveillante d'une faille et ce, à grande échelle a été découverte, justement par des utilisateurs auc prise avec ladite exploitation.
Exploite une erreur dans le composant 'Windows Shell'.
Elle se caractérise par: Une exécution à distance du code malicieux sur l'ordinateur de la victime lors de l'affichage d'un raccourci (fichier .lnk) apparaissant sur le bureau et qui est bien-sûr, piégé.
Étant donné qu'aucun correctif n'est appliquable, car non existant encore, il est avisé de désactiver l'affichage des icônes dans les raccourcis.
NB: Cette manipulation empêche l'exploitation de la faille selon le procédé révélé publiquement, mais ''modifie également l'apparence des raccourcis légitimes''
Voici comment procéder:
1:Cliquez sur le bouton "démarrer" puis choisir "Exécuter.'' puis ...>> entrez "Regedit" et"OK" .
2: Parcourez l'arborescence de l'Editeur de registre de Windows ''colonne de gauche'' , vous rendant à la clé HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler, puis sélectionnez.
3: Maintenant dans la barre dee menus, cliquez sur "Fichier" puis "Exporter".
Nommez le fichier 'exemple' "Sauvegarde_LNK_Icon.reg".
Alors, cliquez le bouton "Enregistrer",pour ainsi faire une sauvegarde qui ensuite vous permettra restaurer ce paramètre ''quand le correctif disponible''.
4: Sélectionnez la valeur "par défaut" correspondant à la clef dans la colonne de droite, puis faire un clic droite, sur choisir "Modifier" .
Enfin, supprimez le contenu du champs "Données de la valeur" ''laissez en blanc''.
5. Redémarrez votre l'ordinateur afin que la modification soit prise en compte.
------------------------------------------------------------------------------------
Ou alors si vous êtes le seul et unique utilisateur de votre machine et que vous ne désirez pas faire ce qui précède...
Faites du ménage sur votre bureau ''en mettant dans la barre rapide'' les raccourcis que vous utilisez puis si un nouveau se pointe seul comme un con sur votre bureau,^-^ alors vous saurez qu'il sagit de la visibilité de cette faille explotée et non corrigée.
:)
Voilà.
A voir également:
- Vulnérabilité critique non corrigée Widows...
- Vulnérabilité - Guide
- Mcafee alerte de virus critique - Accueil - Piratage
- Une faille de sécurité critique découverte dans toutes les versions de Windows - Accueil - Piratage
- Alerte virus critique chrome - Accueil - Virus
- Widows movie maker - Télécharger - Montage & Édition
40 réponses
Bonsoir :)
Microsoft a annoncé un correctif pour cette vulnérabilité. Il sera publié lundi vers 10h PDT (17h en France).
Microsoft a annoncé un correctif pour cette vulnérabilité. Il sera publié lundi vers 10h PDT (17h en France).
Salut à tous
Pour la petite histoire autour de cette vulnérabilité :
http://translate.google.fr/...
L'exécution à distance du code malicieux dont parle jalobservateur consiste à exploiter le shell Windows qui peut être abusé à partir de code malveillant contenu dans un raccourci (*.lnk).
Le simple fait alors de visualiser le contenu d'une clé USB, d'un partage réseau (et/ou WebDAV) vérolé via l'explorateur (entre autre...), permet alors au *.lnk d'être exécuté automatiquement et sans intervention de l'utilisateur.
A ce stade on peut comparer un peu cette action à celle d'un autorun.inf ce qui permettra donc dans la foulée l'exécution du malware qui accompagne le lnk vérolé :
https://www.youtube.com/watch?v=1UxN7WJFTVg
https://archive.f-secure.com/weblog/archives/new_rootkit_en.pdf
Quelques essais en cours et en parallèles des recommandations microsoft :
https://blog.didierstevens.com/2010/07/20/mitigating-lnk-exploitation-with-srp/
https://blog.didierstevens.com/2010/07/18/mitigating-lnk-exploitation-with-ariad/
https://blog.didierstevens.com/programs/ariad/
Misc :-) :
http://www.ivanlef0u.tuxfamily.org/?p=411
++
Pour la petite histoire autour de cette vulnérabilité :
http://translate.google.fr/...
L'exécution à distance du code malicieux dont parle jalobservateur consiste à exploiter le shell Windows qui peut être abusé à partir de code malveillant contenu dans un raccourci (*.lnk).
Le simple fait alors de visualiser le contenu d'une clé USB, d'un partage réseau (et/ou WebDAV) vérolé via l'explorateur (entre autre...), permet alors au *.lnk d'être exécuté automatiquement et sans intervention de l'utilisateur.
A ce stade on peut comparer un peu cette action à celle d'un autorun.inf ce qui permettra donc dans la foulée l'exécution du malware qui accompagne le lnk vérolé :
https://www.youtube.com/watch?v=1UxN7WJFTVg
https://archive.f-secure.com/weblog/archives/new_rootkit_en.pdf
Quelques essais en cours et en parallèles des recommandations microsoft :
https://blog.didierstevens.com/2010/07/20/mitigating-lnk-exploitation-with-srp/
https://blog.didierstevens.com/2010/07/18/mitigating-lnk-exploitation-with-ariad/
https://blog.didierstevens.com/programs/ariad/
Misc :-) :
http://www.ivanlef0u.tuxfamily.org/?p=411
++
MDR!!!!!!!!!!!!
Tu parles d'un bureau à la noix ^^
Bin moi je ferais : Crtl/Alt/suppr et je terminerais le processus ''Explorer'', ainsi tu les verras plus ^^, non mais là tu me scies ;-)
On dirais mon bureau il y a 4 ans, sauf que moi, les raccourcis fesaient tout le tour de l'écran et classés par catégories.
Là non ma suggestion première est la meilleure je pense pour toi :)
***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Tu parles d'un bureau à la noix ^^
Bin moi je ferais : Crtl/Alt/suppr et je terminerais le processus ''Explorer'', ainsi tu les verras plus ^^, non mais là tu me scies ;-)
On dirais mon bureau il y a 4 ans, sauf que moi, les raccourcis fesaient tout le tour de l'écran et classés par catégories.
Là non ma suggestion première est la meilleure je pense pour toi :)
***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ok bin alors, tant qu'à tester, tu testeras un nouveau.ink gratos si tu en vois un :)
Ainsi, via l'exécution du code distant, tu auras un nouvel ami sur ta machine afin de discuter pour le reste de la nuit ^^
***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Ainsi, via l'exécution du code distant, tu auras un nouvel ami sur ta machine afin de discuter pour le reste de la nuit ^^
***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Oui ce bureau j'ai bidouillé un peu plus longtemps, j'avoue^^
Un bon 2 heures certain.
C'est rare, car d'habitude, un 10 minutes et ça me suffit :)
Un bon 2 heures certain.
C'est rare, car d'habitude, un 10 minutes et ça me suffit :)
Salut Moe:)
Oui super pour ces détails ^^
J'ai reçu avant-hier cette news, mais anglaise, alors j'ai posté hier, mais sans tous ces détails que tu mentionnes...
Mais effectivement, oui â va plus loin comme tu l'indique clairement, avec un complément d'infos reçu ce matin.
D'ou l'indication à ajouter de désactiver l'exécution automatique des périphériques amovibles...
Mais tu as mis les bonnes infos , Merci.
Bref â fini plus ces merdouilles:)
PS: La quantité d'infos est tellement volumineuse, que bien souvent, j'avoue que j'ai même plus envi de tout indiquer, ça demande trop de temps et il en reste même plus pour bosser.
***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Oui super pour ces détails ^^
J'ai reçu avant-hier cette news, mais anglaise, alors j'ai posté hier, mais sans tous ces détails que tu mentionnes...
Mais effectivement, oui â va plus loin comme tu l'indique clairement, avec un complément d'infos reçu ce matin.
D'ou l'indication à ajouter de désactiver l'exécution automatique des périphériques amovibles...
Mais tu as mis les bonnes infos , Merci.
Bref â fini plus ces merdouilles:)
PS: La quantité d'infos est tellement volumineuse, que bien souvent, j'avoue que j'ai même plus envi de tout indiquer, ça demande trop de temps et il en reste même plus pour bosser.
***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Salut à tous
Une petite news en forme de up :-)
En attendant un correctif M$, Libor Morkovsky vient de sortir un programme très intéressant capable de fixer la vulnérabilité.
Testé avec le PoC d'ivanlef0u, le tool semble parfaitement effectuer le job en bloquant l'exécution du raccourci et lui attribue une icône en forme de "panneau d'interdiction" signifiant "visuellement" à l'utilisateur qu'il y a eu blocage.
L'avantage aussi côté utilisateur par rapport à l'astuce avec HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler est que l'outil est capable de distinguer les raccourcis vérolés de ceux qui ne le sont pas et donc l'apparence des raccourcis "clean" gardent leur aspect d'origine.
Ce qui n'est pas le cas actuellement avec l'astuce M$ qui touche tous les raccourcis sans distinction...
De plus, vue l'évolution des choses, le *.lnk n'est pas la seule extention à être touchée, par exemple l'astuce de M$ ne règlera pas le soucis avec un *.pif...
HKEY_CLASSES_ROOT\piffile\shellex\IconHandler et HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler pointant par défaut vers la même CLSID...
L'outil de Libor Morkovsky est capable de gèrer les deux extentions depuis aujourd'hui et anticipe donc une exploitation via les *.pif
Le prog s'appelle : LinkIconShim
https://code.google.com/archive/p/linkiconshim
Extrait du readme :
A simple shell extension that inserts itself in front of the original buggy lnk file handler and checks the incoming files. If a link to control panel item is found (the exploitable one), default 'blocked' icon is returned instead of trying to extract one by running arbitrary dll.
A tester pour le fun !
Bonne journée à tous.
++
Une petite news en forme de up :-)
En attendant un correctif M$, Libor Morkovsky vient de sortir un programme très intéressant capable de fixer la vulnérabilité.
Testé avec le PoC d'ivanlef0u, le tool semble parfaitement effectuer le job en bloquant l'exécution du raccourci et lui attribue une icône en forme de "panneau d'interdiction" signifiant "visuellement" à l'utilisateur qu'il y a eu blocage.
L'avantage aussi côté utilisateur par rapport à l'astuce avec HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler est que l'outil est capable de distinguer les raccourcis vérolés de ceux qui ne le sont pas et donc l'apparence des raccourcis "clean" gardent leur aspect d'origine.
Ce qui n'est pas le cas actuellement avec l'astuce M$ qui touche tous les raccourcis sans distinction...
De plus, vue l'évolution des choses, le *.lnk n'est pas la seule extention à être touchée, par exemple l'astuce de M$ ne règlera pas le soucis avec un *.pif...
HKEY_CLASSES_ROOT\piffile\shellex\IconHandler et HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler pointant par défaut vers la même CLSID...
L'outil de Libor Morkovsky est capable de gèrer les deux extentions depuis aujourd'hui et anticipe donc une exploitation via les *.pif
Le prog s'appelle : LinkIconShim
https://code.google.com/archive/p/linkiconshim
Extrait du readme :
A simple shell extension that inserts itself in front of the original buggy lnk file handler and checks the incoming files. If a link to control panel item is found (the exploitable one), default 'blocked' icon is returned instead of trying to extract one by running arbitrary dll.
A tester pour le fun !
Bonne journée à tous.
++
Salut, tous ^^
Étant donné les derniers développements, j'enlève le résolu, car il semble que l'info seulement a fait réfléchir plus d'un et que des mesures sont prises à cet égard sur plusieurs forums.
Donc on laisse courrir l'info, dans ce cas + est mieux que - :)
J'imagine de Microsoft va d'ici une dixaine de jours, publier son correctif mensuel .
Mais entre-temps...
Étant donné les derniers développements, j'enlève le résolu, car il semble que l'info seulement a fait réfléchir plus d'un et que des mesures sont prises à cet égard sur plusieurs forums.
Donc on laisse courrir l'info, dans ce cas + est mieux que - :)
J'imagine de Microsoft va d'ici une dixaine de jours, publier son correctif mensuel .
Mais entre-temps...
Salut Jal,
Ouep et il faudra voir aussi si tous les OS pourront bénéficier du correctif à défaut du fixit...
Le bruit cours que des OS comme XP, XP Sp1 & Sp2 n'en bénéficieraient pas.
Si ça s'avèrait vrai, je suis tout à fait d'accord avec toi car,à ce moment-là, les liens vers des solutions de remplacement pourront être utiles.
Wait & see ! lol
++
Ouep et il faudra voir aussi si tous les OS pourront bénéficier du correctif à défaut du fixit...
Le bruit cours que des OS comme XP, XP Sp1 & Sp2 n'en bénéficieraient pas.
Si ça s'avèrait vrai, je suis tout à fait d'accord avec toi car,à ce moment-là, les liens vers des solutions de remplacement pourront être utiles.
Wait & see ! lol
++
Hi m0e :)
Voici plus en détails mes infos source PDF
https://archive.f-secure.com/weblog/archives/new_rootkit_en.pdf
Pas mal ^^
Donc assez étendu le truc et plutôt réfléchi, encore une fois...
***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La route de la maitrise Linux, peut être longue, mais la voie est libre ^^
Voici plus en détails mes infos source PDF
https://archive.f-secure.com/weblog/archives/new_rootkit_en.pdf
Pas mal ^^
Donc assez étendu le truc et plutôt réfléchi, encore une fois...
***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La route de la maitrise Linux, peut être longue, mais la voie est libre ^^
Encore du rootkits en arrière plan....
J'ai débuté un brainstorming avec un éditeur AV, puis les stratégies actuelles sont toutes à revoir.
Bref je passe les détails, mais l'affinement des techniques nouvelles devra aboutir sur une refonte quasi totale des outils de détection...
W7 est une cible prévilégiée de ces nouvelles menaces et l'emphase semble être mise plus sur les failles noyau innées et s'exploitant allègrement.
Étant donné que Microsoft ne refondra pas son architecture, alors le développement AV a de beaux jour devant lui ^^
J'ai débuté un brainstorming avec un éditeur AV, puis les stratégies actuelles sont toutes à revoir.
Bref je passe les détails, mais l'affinement des techniques nouvelles devra aboutir sur une refonte quasi totale des outils de détection...
W7 est une cible prévilégiée de ces nouvelles menaces et l'emphase semble être mise plus sur les failles noyau innées et s'exploitant allègrement.
Étant donné que Microsoft ne refondra pas son architecture, alors le développement AV a de beaux jour devant lui ^^
Salut Jal, Gen
A propos de travaux sur de nouvelles techniques, celle-ci n'est pas mal non plus :
https://www.cnis-mag.com/lancer-un-malware-sans-toucher-a-la-bdr-le-dll-hell-frappe-encore.html
http://blog.mandiant.com/archives/1207
Bonne continuation.
A propos de travaux sur de nouvelles techniques, celle-ci n'est pas mal non plus :
https://www.cnis-mag.com/lancer-un-malware-sans-toucher-a-la-bdr-le-dll-hell-frappe-encore.html
http://blog.mandiant.com/archives/1207
Bonne continuation.
