Microsoft livre une solution provisoire pour contrer Duqu

le 07/11/2011, par Jean Elyan avec IDG News Service, Sécurité, 652 mots

Microsoft a publié une solution de contournement temporaire pour limiter les attaques de Duqu, un bout de malware évolué qui exploite une vulnérabilité logicielle.

Microsoft livre une solution provisoire pour contrer Duqu

Microsoft travaille sur un patch pour combler une vulnérabilité présente dans le moteur d'analyse de la police TrueType Win32k, un composant que l'on retrouve dans plusieurs systèmes d'exploitation Windows, et qu'un attaquant pourrait exploiter pour charger du code malveillant sur un ordinateur en mode kernel. Les chercheurs, qui surveillent de très près le malware, ont constaté qu'il pouvait être diffusé sous forme de document Microsoft Word envoyé en pièce jointe par e-mail. L'ouverture du document déclencherait l'attaque.

Les chercheurs du Laboratoire de Cryptographie et de la Sécurité du système (CrySys), situé en Hongrie, ont localisé un fichier d'installation pour Duqu et ont découvert qu'il utilisait cette faille jusqu'alors inconnue de Windows. La parade proposée par Microsoft se résume en quelques lignes de code qui fonctionnent comme une ligne commande d'administration. Microsoft a averti que l'installation de ces solutions de contournement pourrait altérer l'affichage dans certaines applications s'appuyant sur cette technologie de polices intégrées. Les solutions de contournement s'appliquent aux systèmes Windows XP, Windows Vista et Windows 7 ainsi qu'à différents produits Windows Server. Microsoft a également publié une solution rapide qui peut être téléchargée et appliquée automatiquement.

Un patch tuesday sans correctif pour Duqu ?

Microsoft doit normalement livrer ses correctifs mensuels ce mardi, mais il est probable que l'éditeur ne pourra pas corriger la vulnérabilité exploitée par Duqu d'ici là. L'éditeur publie occasionnellement des correctifs en dehors de son cycle de mise à jour pour des vulnérabilités importantes, mais n'a pas l'habitude de prévenir de leur date de sortie. «  Le développement d'un patch approprié pourrait prendre plusieurs semaines, » selon Costin G. Raiu, directeur de l'équipe de recherche et d'analyse de Kaspersky Lab. « Pour résoudre cette vulnérabilité, il faudra modifier le code du noyau, ce qui est très délicat et risqué, » a ajouté le responsable de Kaspersky Lab. « Les tests pour vérifier le bon fonctionnement des modifications apportées et la réalisation des patchs vont prendre beaucoup de temps, » a-t-il estimé. « La mise au point d'un patch « out-of-cycle » pourrait prendre au moins deux semaines, » a-t-il avancé. « Le patch sera sans doute prêt pour le mois prochain. Sauf si le bug est traité en ingénierie inverse et que d'autres malwares commence à l'utiliser, » a-t-il déclaré.

Duqu a été comparé à Stuxnet, même si certains rapports divergent pour dire si les deux bouts de logiciels malveillants sont liés. Stuxnet a fait preuve d'un certain niveau de sophistication de la part de ses créateurs qui ont réussi à l'introduire dans Windows en exploitant quatre vulnérabilités de type « zero day ». Celles-ci ont été exploitées activement avant que Microsoft ne s'en rende compte et qu'il ne soit en mesure de développer un patch. Duqu est également considéré comme un malware évolué : en effet, l'exploitation d'une faille au niveau du noyau lui permettrait de mieux échapper aux antivirus. Les experts en sécurité soupçonnent que Duqu a été mis au point pour mener des attaques ciblées contre certaines organisations. « Nous sommes conscients qu'il y a actuellement des attaques ciblées qui tentent d'utiliser cette vulnérabilité. Mais dans l'ensemble, nous constatons que l'impact auprès des clients est faible, » a déclaré Microsoft dans un communiqué jeudi soir.

Les infections progressent dans le monde

Néanmoins, il semble que Microsoft minimise le risque, car selon Symantec, des infections ont été détectées dans le monde entier, notamment en France, aux Pays-Bas, en Suisse, en Ukraine, en Inde, en Iran, au Soudan et au Vietnam. D'autres incidents ont eu lieu en Autriche, en Hongrie, en Indonésie et au Royaume-Uni. Chester Wisniewski, conseiller en sécurité senior auprès du vendeur de solutions de sécurité canadien Sophos, a écrit dans un blog que le « bug est assez sérieux. » Et selon lui, «  Microsoft ne va pas attendre trop longtemps pour mettre au point le patch permettant d'y remédier. »

Installer le correctif de Microsoft : http://support.microsoft.com/kb/2639658



Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...