:: NORMAN :: Antivirus | Firewall

Accueil

Actualités

Produits & services

Virus & sécurité

Support

Téléchargement

Partenaire

Acheter

Choix du pays

Choix du produit

Virus & sécurité » Sécurité : Information » 2006 » Vue d’ensemble des événements de sécurité de 2006 (I)

Vue d’ensemble des événements de sécurité de 2006 (I)

Ajouter à mes favoris Norman

Information Sécurité
semaine 14, 2006

Janvier 2006

1er janvier : MS06-001 - vulnérabilité des fichiers WMF (Windows Meta File)

L’année a commencé d’une façon abrupte avec l’annonce de la découverte d’une vulnérabilité dans le moteur de rendu des graphiques (GRE) de Windows. En réalisant spécialement un fichier Windows Meta File (.wmf), un attaquant peut exécuter un code sur le système et en prendre le contrôle total. Comme on trouve ce moteur - qui sert à afficher un contenu graphique - sur toutes les versions de Windows, toutes les machines Windows étaient exposées à cette vulnérabilité. Le jour même de la publication de cette information, le premier code nocif exploitant cette vulnérabilité était découvert. La menace devenait immédiate.

Norman a ajouté cette technologie dans Sandbox, afin de détecter cette exploitation de la vulnérabilité, ainsi que toutes les autres à venir. Pendant plusieurs jours, d’autres codes nocifs tentant d’exploiter cette vulnérabilité ont été découverts, mais tous furent stoppés par la technologie Norman Sandbox.

5 janvier : ‘attaque’ Sober

L’attaque Sober, prévue par certains experts pour le 5 janvier, ne s’est pas produite. Avant tout, leur analyse a manqué de soin : la comparaison intégrée dans la dernière variante de Sober indique « ComparissonDay > 5 January » (JourRéférence > 5 janvier), ce qui nous amène au minimum au 6 janvier. Et rien ne s’est passé le 6 janvier, pas plus que les jours suivants. Le pseudo 87e anniversaire de la création du parti Nazi relève plus d’un tapage médiatique orchestré par la société qui a rendu ce ‘fait’ public que d’un événement réel. Pourquoi l’auteur célèbrerait-il l’anniversaire de la création du parti Nazi tous les jours après le 5 janvier ?

10 janvier : MS06-002 - vulnérabilité des polices incorporées

Lorsqu’ils surfent sur Internet, les utilisateurs ont tendance à accéder à des pages web où ils n’auraient pas dû arriver. Ceci arrive fréquemment à la suite de fautes de frappe dans l’URL, qui aiguillent vers un autre domaine. Avec MS06-002, ceci est devenu plus dangereux car une vulnérabilité a été découverte dans la méthode employée par Windows pour gérer les polices web intégrées. En vous faisant visiter un site spécialement conçu ou ouvrir un message, l’attaquant peut être à même d’exécuter du code et de prendre le contrôle total de votre système.

10 janvier : MS06-003 - vulnérabilité TNEF

Les utilisateurs sont exposés à un risque s’ils ouvrent un message contenant une pièce jointe mime au format TNEF (Transport Neutral Encapsulation Format) spécialement étudiée, ou lorsqu’un message de ce type est traité par le service Information Store d’Exchange Server. L’attaquant envoyant ce message spécial peut prendre le contrôle total des systèmes affectés.

17 janvier : W32/Small.KI n’est pas si petit

Il y avait longtemps que nous n’avions pas vu un virus à charge destructive sérieuse et distribué à grande échelle, et W32/Small.KI est arrivé. Ce virus est un mystique sans identité exacte : presque tous les fournisseurs d’antivirus lui donnent un nom différent : Nyxem, MyWife et KillAV pour ne citer qu’eux. Il semble avoir autant de noms que de potentiel de destruction : chaque 3e jour du mois, à partir du 3 février 2006, il va endommager les données des documents Word, des feuilles de calcul Excel, des bases de données Access, des présentations PowerPoint, des fichiers Adobe PDF, des archives Zip et Rar, etc. Ce virus a reçu un identificateur CME, CME-24.

Février 2006

3 février : W32/Small.KI - rien à signaler

Bien que ce virus se propage rapidement et qu’il libère sa charge destructive le 3 de chaque mois (le 3 février étant la première occurrence) aucun utilisateur ne nous a mentionné une quelconque perte de données. Comme notre compteur web externe dénombrant les infections (ou, en réalité, le nombre de connexions à une page web spécifique) a atteint la valeur de 15 000 000, cela signifie que la plupart des utilisateurs ont pris leurs précautions en procédant à la mise à jour de leur programme antivirus.

14 février : MS06-004 - vulnérabilité WMF

Une autre vulnérabilité a été découverte dans le gestionnaire d’image WMF. Elle peut permettre l’exécution de code à distance grâce à des images spécialement conçues, qui peuvent être chargées lors de l’accès à un site web ou par l’ouverture d’un message contenant cette image spécifique. Cette vulnérabilité, bien qu’elle se trouve dans le gestionnaire WMF, est différente de celles déjà énoncées dans les bulletins MS05-053 et MS06-001.

14 février : MS06-005 - vulnérabilité du lecteur Windows Media

Le lecteur Windows Media dispose de la capacité de récupérer des images en mode point (bitmap). La plupart du temps, ce sont les couvertures des albums en cours de lecture. Si ces couvertures sont spécialement conçues, l’exécution à distance de code nocif est possible. La probabilité d’exposition à cette vulnérabilité est faible car son exploitation demande un certain niveau d’interaction. En outre, comme la plupart de ces couvertures sont proposées de bonne fois sur les sites de l’industrie du disque, ces derniers doivent être piratés et une couverture saine doit être remplacée par une autre nocive.

14 février : MS06-006 - vulnérabilité dans le module externe du lecteur Windows Media

Pour continuer avec le module Windows Media, une autre vulnérabilité a été découverte dans la section module externe des navigateurs Internet non-Microsoft. Ceci est dû à la manière dont le module externe du lecteur Windows Media gère les éléments de type <EMBED> (intégrés). Les éléments EMBED sont des balises et constituent la méthode la plus courante pour ajouter du son aux pages Internet. Un élément <EMBED> nocif, présent sur un site web, peut permettre l’exécution de code à distance par les navigateurs non-Microsoft lors de la visite de ce site.

14 février : MS06-007 - refus de service sur une vulnérabilité Ping

Lorsque des paquets Ping (IGMP) spécialement étudiés affectent le système, il cesse alors de répondre. Cette vulnérabilité est donc une véritable attaque de type refus de service. S’ils ne sont pas correctement protégés et mis à jour, des réseaux entiers peuvent cesser de répondre.

16 février : premier code nocif pour Mac OSX - OSX/Leap.A

Pendant une décennie, les utilisateurs de Windows ont été « taquinés » par les utilisateurs Macintosh OSX qui leurs vantaient les meilleures performances de leur environnement en matière de convivialité et de sécurité. Finalement, un code nocif à faible capacité de propagation et visant le système OSX a été découvert. Il s’agissait plus de prouver la faisabilité du concept, car le code nocif, identifié comme OSX/Leap.A, s’exécute chez le destinataire mais ne peut pas se propager. Toujours est-il que le premier code nocif pour OSX existe bel et bien. Il est très probable que d’autres suivront et qu’un code nocif pour OSX capable de se répandre verra le jour.

17 février : deuxième code nocif pour Mac OSX - OSX/Ingtana.A

Et il n’a fallu qu’une seule journée avant de découvrir un nouveau code nocif pour OSX : un ver nommé OSX/Ingtana.A. Ce dernier réussit à se répandre sur Bluetooth mais, si l’on considère que le ver n’utilise qu’une version de démonstration limitée dans le temps d’une librairie Bluetooth, on doit, là encore, considérer qu’il s’agit d’une preuve de faisabilité du concept. Si le ver avait pu être compilé avec une version non limitée dans le temps, le danger aurait été plus grand. Apple propose des mises à jour qui corrigeront le système contre CVE ID : 2005-1333, les vulnérabilités Bluetooth File et Object Exchange Directory Traversal exploitées par ce ver.

Mars 2006

6 Mars : découverte d’un virus preuve de concept pour InfoPath

Un nouveau virus démontrant un concept a été découvert. Il infecte une autre application de la suite Microsoft Office. L’application cible est InfoPath et le virus en cause s’appelle W32/Icabdi.A. Ce virus est plutôt ‘intéressant’ car il repose sur la présence d’applications externes ainsi que sur la permission d’écriture et d’exécution depuis un emplacement spécifique sur le disque dur de l’utilisateur. Comme il s’agit d’un virus de ‘démonstration’, il ne transporte aucune charge et s’appuie sur la présence d’applications externes. Le risque présenté par ce virus est si faible que les utilisateurs ne seront peut-être pas concernés. Bien entendu, comme pour tout virus prouvant un concept, il peut être suivi d’un déferlement de virus employant la même technique.

10 mars : un cheval de Troie utilise la pornographie infantile pour se masquer

Triste jour que celui où Norman a identifié ce nouveau cheval de Troie. De nos jours, ce n’est pas un cas isolé pour une société spécialisée dans la sécurité, mais ce cheval de Troie s’installe et montre un film contenant de la pornographie infantile. Le cheval de Troie transportant le clip vidéo est distribué sur Internet par divers canaux, réseaux de partage de fichiers (Kazaa, entre autres) et probablement aussi par messages électroniques. Le cheval de Troie, nommé W32/Agent.ULL, avertit du contenu explicite du film, mais il emploie le clip vidéo comme appât pour inciter les utilisateurs à cliquer.

La fonction principale n’est pas la lecture du film, mais l’installation d’un certain nombre d’autres programmes nocifs, qui sont téléchargés automatiquement lors de la lecture du film. Le film est là pour distraire l’utilisateur pendant le déroulement des autres activités. Les programmes nocifs installés et téléchargés constituent un ensemble complet de programmes publicitaires et espions très choquants, complété par une campagne publicitaire pour des sites web pornographiques.

Une semaine plus tard, Norman a reçu un second cheval de Troie basé sur le même film. Nous espérons que cela ne deviendra pas une tendance lourde. Cela démontre, cependant, les distributeurs de programmes publicitaires et espions ne reculent devant rien pour distribuer leurs horreurs.

14 mars : MS06-012 - exécution à distance à partir de MS Office

Sur les systèmes touchés, si l’utilisateur est connecté avec des droits d’administrateur, un attaquant peut obtenir des droits d’accès complets au système et le contrôler, ce qui lui permet d’exécuter le code qu’il veut. Cette vulnérabilité a été classée critique par Microsoft car elle existe dans toutes les versions d’Office, y compris celle destinées aux Macintosh.

15 mars : preuve de concept pour un virus RFID.

Les chercheurs de l’université d’Amsterdam, aux Pays-Bas, ont réussi à infecter une puce d’identification par radio-fréquences (RFID) avec un virus informatique. Jusqu’alors, on pensait généralement que la capacité mémoire des puces RFID était trop limitée pour permettre l’infection. Les chercheurs ont désormais prouvé que cette théorie est fausse. Les puces RFID peuvent être utilisées de différentes façons, par exemple, intégrées dans des passeports, des étiquettes de bagages de compagnies aériennes et autres dispositifs électroniques. Elles peuvent également être placées sous la peau des animaux domestiques, etc. Bien qu’il existe des conditions préalables pour rendre un virus possible (au niveau, entre autres, de l’équipement d’écriture RFID), la publication du code peut accélérer l’apparition du premier virus.

21 mars : un logiciel DRM provoque un redémarrage violent

StarForce est une compagnie connue pour créer des logiciels DRM destinés à l’industrie du jeu. Il s’est avéré que leur implantation va, en réalité, installer un pilote au niveau le plus élevé du système (ring0). À ce niveau, le pilote se charge et s’exécute systématiquement, sans tenir compte du fait que vous jouez ou non avec un jeu protégé par le logiciel DRM de StarForce. Un pilote fonctionnant à ce niveau contrôle totalement le système. Dès qu’il détecte un comportement suspect apparenté à la copie du programme protégé, le logiciel DRM provoque le redémarrage du système. Ce redémarrage se fait dans les conditions les plus destructrices qui soient : ce n’est pas un arrêt normal, au cours duquel le travail non sauvegardé est stocké, mais un redémarrage sauvage entraînant la perte des données non enregistrées.

22 mars : les vers adoptent Rootkit

Les auteurs des vers Bagle ont ajouté une nouvelle couche à leurs dernières créatures. Avec W32/Bagle.MD, ils ont adopté la technologie Rootkit. Le ver devient moins facilement détectable et il est plus difficile de le retirer lorsqu’il est présent en mémoire. L’application de la technologie Rootkit aux vers ou aux virus peut être lucrative pour les auteurs de code nocif, car beaucoup de machines sont infectées par une diffusion incessante de ces nuisances.

23 mars : une nouvelle vulnérabilité dans Internet Explorer (CVE2006-1359)

La méthode employée par Internet Explorer pour gérer l’appel createTextRange() sur un objet de type case à cocher est potentiellement dangereuse. Des sites web spécialement conçus peuvent provoquer un blocage d’Internet Explorer de telle sorte qu’un code arbitraire peut être exécuté. Un code actif démontrant ce concept a été découvert sur, au moins, 37 sites. Un correctif de Microsoft est toujours attendu. Les autres navigateurs ne sont pas affectés. Pour contourner ce problème, les utilisateurs d’Internet Explorer peuvent désactiver les scripts actifs ainsi que les scripts des applets Java. Le site http://support.microsoft.com/kb/q154036 propose une description de la méthode à employer pour les différentes versions d’Internet Explorer.

Norman a intégré une détection générique dans ses produits sous la forme JS/Exploit!CVE-2006-1359 et, au moment ou nous rédigeons ce document, elle a réussi à bloquer tous les téléchargements liés à cet exploit.

ALERTES VIRALES

Medium risk
15	Aug	08	AntiVirus 2008
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Dernière mise á jour signatures

>>	2009-01-07

Informations sur la sécurité

>>	Summing up 2008 and predictions for 2009
>>	Noël – une période délectable ET redoutable

Conseils pour la sécurité

>>	Mise à jour non planifiée pour Microsoft Internet Explorer
>>	Six mises à jour critiques pour les systèmes Microsoft en décembre 2008

Norman est une des sociétés leader mondial dans le domaine de la sécurité informatique. Des produits tels que les antivirus, le firewall personnel, la solution anti spam en font un acteur important dans le monde informatique.