Evolution du malware – premier trimestre 2007

Les experts de la sécurité informatique s’attendaient à ce que l’année 2007 marque un tournant pour l’ensemble de la communauté informatique et plus particulièrement dans la lutte contre les virus informatiques.

Il est fort probable que les auteurs de virus, en 2007, se concentrent sur divers chevaux de Troie capables de voler les informations de l’utilisateur. Les principales victimes seront toujours les utilisateurs des systèmes bancaires et de paiement en ligne ainsi que les adeptes des jeux en ligne. Selon toute vraisemblance, la fusion entre les auteurs de virus et de messages non sollicités va se poursuivre. Le résultat de cette « symbiose » sera l’utilisation des machines infectées non pas pour organiser de nouvelles épidémies ou attaques mais bien pour diffuser du courrier indésirable.

S’agissant des moyens utilisés pour l’intrusion des programmes malveillants dans les ordinateurs, Kaspersky Lab estime que, comme par le passé, le courrier électronique et les vulnérabilités des navigateurs seront les principaux vecteurs. Les modes de propagation des programmes malveillants tels que les réseaux P2P ou les canaux IRC seront utilisés, non pas en masse, mais principalement à l’échelle locale (par exemple, le client P2P Winny, très populaire au Japon, pourrait bien devenir un casse-tête pour les utilisateurs asiatiques en 2007). Les systèmes de messagerie instantanée resteront dans le trio de tête des « armes » les plus utilisées pour les attaques mais nos experts ne s’attendent pas à un renforcement de ce mode de diffusion des virus.

Dans l’ensemble, les épidémies et les attaques de virus seront encore plus définies géographiquement. Par exemple, les chevaux de Troie de jeu et les vers dotés de fonctions virales seront caractéristiques de la région asiatique tandis que les chevaux de Troie espions et les portes dérobées seront fréquents en Europe et aux Etats-Unis. L’Amérique latine continuera à être victime de tous les types de chevaux de Troie bancaires possibles et imaginables.

Selon toute évidence, l’évènement de 2007 sera l’arrivée de Microsoft Vista, le nouveau système d’exploitation de Microsoft, et les vulnérabilités qu’il renferme.

Nous nous attendons également à une croissance sensible du nombre de virus pour les autres systèmes d’exploitation : tout d’abord pour Mac OS, puis pour les systèmes *nix. Les consoles de jeux telles que PlayStation et Nintendo ne seront pas épargnées. Le nombre croissant de ces appareils et leur capacité à communiquer entre eux et à se connecter à Internet pourraient susciter l’intérêt des auteurs de virus mais pour l’instant, il s’agit uniquement de démarche orientée par la recherche et les mauvaises blagues. Il se peut que les virus pour les appareils autres que les ordinateurs franchissent une nouvelle étape en 2007 et connaissent une croissance soutenue. Toutefois, la probabilité d’un tel scénario reste infime.

Tous les programmes malveillants seront caractérisés par l’accroissement de la complexité technique et des méthodes de dissimulation au sein du système. Le polymorphisme, l’assombrissement et les outils de dissimulation d’activité vont être plus répandus et seront standard pour la majorité des nouveaux programmes malveillants.

Nos spécialistes prévoient également une augmentation du nombre d’attaques ciblant les petites et moyennes entreprises. Outre le vol traditionnel de données, ces attaques viseront l’obtention de sommes d’argent versées par les victimes, notamment en cas de cryptage des données. Un des principaux points d’entrée de ces programmes dans le système seront les fichiers MS Office et les vulnérabilités de cette suite logicielle.

Le premier trimestre 2007 a en grande partie confirmé nos attentes et nos pronostics.

Internet, le champ de bataille

La fin de l’année 2006 fut particulièrement difficile pour les éditeurs de logiciels antivirus du monde entier. Les services d’analyse de virus ont tourné en mode d’alerte maximum avec l’appui de toutes les réserves disponibles pendant trois mois.

Cette situation était le résultat d’une attaque d’une ampleur jamais vue lancée sur Internet par les auteurs inconnus de la famille des vers de messagerie Warezov. Les premiers exemplaires de ce ver ont fait leur apparition sur Internet en octobre 2006 et ont manifesté l’activité la plus intense vers la fin du mois avec plus de 20 nouvelles variantes identifiées en un seul jour.

Warezov n’est pas sans rappeler le célèbre ver Bagle. Bien que Warezov reposait principalement sur le code source du ver Mydoom.a et que Bagle était la création « originale » d’un groupe inconnu d’auteurs de virus, nous pensions que ces vers étaient « apparentés ». Tout d’abord, l’organisation de l’épidémie était très similaire : diffusion massive de plusieurs variantes en une courte période avec des différences géographiques (certaines variantes étaient diffusées en Russie, d’autres en Europe). Ensuite, les fonctions de chacun d’entre eux étaient proches : installation sur l’ordinateur de n’importe quel autre module depuis un site abritant des chevaux de Troie et collecte des adresses de courrier électronique pour les individus mal intentionnés. Bagle fut le premier à utiliser des technologies propres aux virus pour enrichir les bases de données utilisées par les spammeurs. Warezov agit de même.

Ces signes, ainsi que l’apparition de Warezov et l’arrêt de la diffusion de nouvelles variantes de Bagle se sont produits à une semaine d’intervalle. Il est difficile de croire que les auteurs de Bagle sont soudainement « tombés en faillite » et que leur activité a été poursuivie par quelqu’un d’autre. Nous n’avons pas exclu la possibilité que les deux vers soient le fruit d’un seul et même groupe.

Jusque la fin de l’année 2006, nous avions découvert plus de 400 variantes du ver Warezov. Ses auteurs ont organisé une multitude de diffusions de courrier indésirable, chacune de courte durée mais massive, pour propager de nouvelles variantes, ce qui a débouché sur la création d’un réseau de zombies géant. Si l’on tient compte du fait que Warezov était également capable de récolter des adresses de courrier électronique, il fallait s’attendre à une vague de messages non sollicités et d’attaques d’hameçonnage. Warezov a été créé et développé avec un seul objectif en tête : exploiter les ordinateurs infectés en guise de serveur proxy de messagerie.

Les auteurs du ver et leurs clients se sont en fait offert une large part du marché noir des diffusions illicites de courrier. La concurrence ne pouvait pas rester assise les bras croisés. Ce n’était qu’une question de temps avant que la riposte ne se manifeste.

L’Europe fut touchée par la tempête Kyrill le 18 janvier 2007. Cette tempête de neige a coûté la vie à 30 personnes. Des dizaines de milliers d’Européens se sont retrouvés sans électricité, privés de moyens de communication et de transport. L’attention du monde entier était tournée vers l’Europe grâce à la couverture médiatique continue.

Une autre tempête se déclencha le 20 septembre. Cette fois-ci, dans le flux des messageries électroniques. Cette diffusion gigantesque contenait des messages évoquant le bilan de 230 tués suite à l’ouragan Kirill, des satellites chinois et américains abattus par des fusées russes, la survie de Saddam Hussein, la mort du président Poutine, et bien d’autres choses encore. Ces « titres » devaient amener le destinataire à exécuter le fichier contenu dans ces messages.

Voici une brève liste des objets utilisés par les auteurs de cette attaque de virus :

  • 230 dead as storm batters Europe.
  • Russian missle shot down Chinese satellite
  • Chinese missile shot down USA aircraft
  • Sadam Hussein alive!
  • Venezuelan leader: « Let’s the War beginning ».
  • Fidel Castro dead.
  • President of Russia Putin dead
  • Third World War just have started!

Les fichiers contenus dans ces messages étaient des chevaux de Troie dénommés Trojan-Downloader.Win32.Small.dam et Trojan-Downloader.Win32.Small.bet. Une fois que l’ordinateur était infecté, ils téléchargeaient d’autres composants pour former un nouveau ver de réseau particulièrement agressif et intégrant une technologie de dissimulation de l’activité. Ce ver reçu l’appellation officieuse de « Storm Worm ». Officiellement, il figure dans nos bases antivirus sous la dénomination Email-Worm.Win32.Zhelatin.a.

L’analyse détaillée de ce ver et de ses variantes apparues dans les jours qui suivirent, donna des résultats intéressants. Zhelatin, tout comme Warezov, transformait l’ordinateur infecté en serveur proxy troyen pour la diffusion du courrier indésirable et la création d’un réseau de zombies destiné au lancement d’attaque DdoS. Et devinez quelles étaient ses principales cibles ? Les sites utilisés par les auteurs du ver Warezov ! Sans oublier quelques autres sites appartenant à diverses organisations de lutte contre le courrier indésirable. Le pic de l’épidémie provoquée par plusieurs variantes du ver Zhelatin fut atteint au mois de février.

La cyber-guerre entre les groupes à l’origine de Warezov et de Zhelatin était déclarée. Etant donné la taille des réseaux de zombie à la disposition de ces deux groupes et leur prédilection pour des attaques multiples, nous risquions de nous retrouver face à un des problèmes les plus graves pour Internet depuis plusieurs années.

A ce jour, la cyber-guerre la plus célèbre fut celle qui opposa Mydoom, Bagle et NetSky au printemps 2004. A l’époque, Internet avait été inondé par des dizaines de variantes de ces vers qui recherchaient la présence de leurs concurrents sur les ordinateurs infectés afin de les éliminer et de prendre leur place. L’arrestation, en Allemagne, de Sven Yashan, l’auteur de 18 ans de NetSky, mit fin à la guerre mais les vers qu’il a créé figurent à ce jour parmi les vers les plus répandus dans le courrier électronique. Parmi les groupes impliqués dans cette guerre, seuls les auteurs du ver Bagle ont poursuivi leurs activités jusqu’en 2007. Bien sûr, leur activité a fluctué au fil du temps et ils n’ont jamais réagi à l’émergence de Warezov, ce qui nous fit penser qu’ils avaient participé à la création de ce ver (comme nous l’avons déjà dit ci-dessus). Toutefois, à la surprise générale, ils sont réapparus en janvier et une des versions de Bagle est devenue le code malveillant le plus répandu dans le courrier électronique.

La situation ne pouvait pas être plus intéressante. Nous sommes en présence de trois groupes, issus de différents pays, qui se livrent à la même activité, à savoir la création de réseaux de zombies afin de diffuser du courrier indésirable et de récolter des adresses de courrier électronique. Ils dépendent tous de l’argent des spammeurs qui paient pour le réseau de zombies le plus grand et pour la base d’adresses la plus riche. Cela les oblige à lutter les uns contre les autres par tous les moyens disponibles, ce qui se traduit par des attaques de virus sans fins contre les utilisateurs de tous les jours. Pour réaliser cette tâche, ils ne cessent d’inventer de nouveaux moyens pour déjouer les filtres des logiciels antivirus.

Les auteurs de Warezov ont commencé à riposter aux attaques de Zhelatin en mars tandis que Bagle apparaît périodiquement sous une nouvelle forme plusieurs fois par mois depuis janvier. Alors qu’à la fin de l’année dernière, les éditeurs de logiciels antivirus devaient lutter contre un groupe uniquement, maintenant l’ampleur et le volume de la tâche a triplé. Toute cette activité se traduit par une augmentation du nombre de messages non sollicités et d’attaques d’hameçonnage.

Près de 32% du trafic global d’objets malveillants dans le courrier électronique au mois de mars 2007 était imputable à Trojan-Spy.HTML.Bankfraud.ra. Il s’agit d’une conséquence directe des épidémies de Bagle, Zhelatin ou Warezov. Il se présente sous la forme d’un message d’hameçonnage typique envoyé par millions d’exemplaires dans le monde entier. Nous avons relevé plusieurs diffusions de ce cheval de Troie. Il fut découvert pour la première fois le 27 février 2007. Ce cheval de Troie s’attaque aux clients de Branch Banking and Trust Company (BB&T) et les redirige vers des sites fictifs enregistrés par les individus mal intentionnés en Croatie et dans les îles Coco.

Nous ne pouvons que deviner l’identité du groupe à l’origine de cette attaque d’hameçonnage réelle. Personnellement, je pense qu’il s’agit de Zhelatin…

Agitation en Chine

La découverte des toutes premières versions du ver de réseau-virus Viking par les experts de Kaspersky Lab remonte au début de l’année 2005. A l’époque, l’événement n’avait pas été perçu comme extraordinaire et ce virus ne se distinguait pas de la masse des autres fruits de la création des auteurs de virus : il se copiait sur les ressources de réseau accessibles, infectait des fichiers, tentait de télécharger des fichiers depuis Internet et de voler les données d’accès à quelques jeux en ligne.

Tout au long de l’année 2005, l’auteur de Viking fut très calme et ne diffusa une nouvelle version qu’une fois tous les deux mois. Toutefois, en avril 2006, avec la diffusion de Viking.h, il accéléra sa production et en septembre de la même année, nous recensions plus de 30 versions de ce ver. Puis, il y eut un événement que nous pouvons comparer à l’épidémie du ver Warezov qui se déroulait à peu près à la même époque.

Des dizaines de nouvelles variantes de Viking chaque semaine, des dizaines de milliers (!) de sites Internet en Chine assurant la diffusion du ver qui ciblait, en grande partie, les utilisateurs asiatiques. Très vite, nous nous sommes rendus compte que nous étions en présence d’une épidémie nationale en Chine.

C’est précisément grâce à Viking que la Chine, selon nos estimations, a décroché la première place au monde en termes de programmes malveillants créés. Et grâce à Viking, la catégorie restreinte de vers qui se diffusent via les réseaux locaux et qui infectent les fichiers a connu en 2006 une croissance sensible de sa population (cf. rapport annuel).

Le début de l’année 2007 nous a offert un nouveau « casse-tête chinois. » Une partie des variantes de Viking étaient tellement différentes de la variante d’origine que nous les avons intégrées dans la nouvelle famille Fujack. Cette décision a coïncidé avec une nouvelle vague d’épidémies. En janvier et en février, Fujack a constitué le problème le plus important pour les utilisateurs chinois au niveau des virus. Les informations relatives au « virus panda » (l’icône des fichiers infectés par le virus était remplacée par un panda avec des baguettes) ont fait chauffer les téléscripteurs des agences de presse asiatiques.

Nous devons ouvrir ici une parenthèse et nous pencher sur la question suivante : comment se fait-il qu’un ver, qui n’est ni un ver de réseau, ni un ver de messagerie, a pu se propager avec une telle ampleur et pourquoi en Chine ?

Les facteurs principaux sont les suivants :

  • Pourcentage plus élevé d’échanges de fichier dans l’Internet chinois par rapport aux autres pays. Il existe en Chine des milliers de serveurs qui constituent un gigantesque référentiel de fichiers. Bien entendu, lorsque le piratage informatique est la seule manière offerte aux utilisateurs pour obtenir les programmes qui les intéressent, ces serveurs sont très populaires. Il est fort probable que ces serveurs proposent des copies de tous les programmes existants au monde. Les utilisateurs échangent des fichiers et il suffit qu’un seul fichier infecté se retrouve sur le serveur pour faire des dizaines de milliers de victimes. Les sources de diffusion de Viking et de Fujack que nous avons identifiées appartiennent à cette catégorie.
  • La diffusion du virus n’a pas été l’œuvre d’un seul individu. L’auteur a vendu à toutes les personnes intéressées une version exclusive de Fujack axée sur le vol des données des utilisateurs de jeux en ligne. C’est ce qui explique la quantité astronomique de variantes du ver et les quelques sources de diffusions.
  • La taille imposante des réseaux locaux, principalement dans les universités chinoises. Dès qu’un virus parvient à pénétrer dans un tel réseau, il peut rapidement infecter des milliers d’ordinateurs avec des ressources de réseau ouvertes.

Je pense que nous sommes vraiment en présence d’une épidémie spécifique qui n’aurait pas pu se déclencher ailleurs qu’en Chine. Et malgré l’échelle des infections, le virus n’est pas parvenu à dépasser les frontières du pays et à déclencher des épidémies remarquables en Europe ou aux Etats-Unis. Il s’agit certainement d’une conséquence du « rideau de fer numérique » dressé entre la Chine et le reste du monde sur Internet.

Finalement, ce que nous espérions mais n’attendions pas s’est produit. Le 12 février, l’agence de presse Xinhua a annoncé l’arrestation par la police de plusieurs personnes soupçonnées d’avoir participé à la création du ver Fujack. Huit personnes furent arrêtées, dont Li Jun, âgé de 25 ans, connu sous le pseudonyme Whboy. Li Jun a avoué qu’il avait gagné près de 12 000 dollars en développant des vers et en les revendant à d’autres pirates et il avait été forcé de suivre cette voie car il n’avait pas pu trouver un emploi dans le secteur informatique.

Selon plusieurs sources, il s’agissait de la première arrestation d’un auteur de virus en Chine. Je ne suis pas convaincu qu’il s’agisse du premier cas, mais il est certain que la Chine n’avait jamais encore connu l’arrestation d’un auteur de virus de ce niveau.

J’ai essayé de retrouver dans notre collection de virus tous les programmes malveillants contenant l’expression « WhBoy » dans leur code car Li Jun avait l’habitude de signer ses œuvres. La liste ainsi obtenue est impressionnante :

  • Quelques dizaines de Trojan-PSW.Win32.Lmir, des chevaux de Troie développés pour dérober les comptes du jeu en ligne Legend of Mir;
  • Quelques dizaines de Trojan-Downloader.Win32.Leodon;
  • Tous les vers de la famille Email-Worm.Win32.Lewor;
  • Plusieurs Backdoor.Win32.WinterLove;
  • Quelques dizaines de Trojan-PSW.Win32.Nilage, des chevaux de Troie développés pour dérober les comptes du jeu en ligne LineAge;
  • Plusieurs dizaines de Trojan-PSW.Win32.QQRob, des chevaux de Troie développés pour voler les comptes du client de messagerie instantanée chinois QQ;
  • Les vers Viking et Fujack.

Si WhBoy est bel et bien le créateur de tous ces programmes malveillants, alors il peut être considéré comme un des auteurs de virus les plus prolifiques de ces dix dernières années.

Et voici un fait troublant : la police chinoise a exigé de Li qu’il développe un logiciel antivirus pour réparer les ordinateurs infectés par Fujack. Il essaya, mais sans succès. Il ne parvint pas à réparer les systèmes infectés. L’auteur du virus était battu par sa création. Peut-on imaginer une situation plus comique ?

Grandeur et décadence de Windows Vista

Il ne fait aucun doute que la commercialisation à la fin du mois de janvier 2007 de Windows Vista, la nouvelle version du système d’exploitation de Microsoft, fut un événement majeur non seulement pour les éditeurs de logiciels antivirus mais pour tout le secteur des technologies de l’information. Microsoft a déclaré que cette version serait la version la plus sûre jamais produite et qu’elle allait mettre un terme à bon nombre des problèmes de sécurité à l’origine d’une multitude d’épidémies de virus du passé.

La communauté informatique s’est interrogée sur la réalité de ces déclarations bien avant l’apparition de la version bêta. Quelles étaient les fonctions chargées d’assurer la sécurité des utilisateurs et comment allaient-elles se comporter en situation réelle ? Etait-ce vrai que la sortie de Vista marquerait la fin des antivirus ?

La liste des nouvelles fonctions clé en matière de sécurité est impressionnante : système de restriction des privilèges des utilisateurs baptisé User Account Control (technologie UAC, contrôle de compte utilisateur), le système de protection PatchGuard et les fonctions de sécurité d’Internet Explorer 7, Address Space Layer Randomization (ASLR), Network Access Protection et Windows Service Hardening. De plus, Vista est doté d’un pare-feu et d’un logiciel antivirus intégré baptisé Windows Defender.

Les experts de la sécurité informatique s’accordaient à dire que toutes ces nouveautés n’allaient pas vraiment changer la situation en matière de virus informatiques. Les tests réalisés par divers éditeurs de logiciels antivirus démontrèrent que près de 90% des programmes malveillants existant pour Windows XP pouvaient fonctionner sans problèmes sous Vista. Sans parler des vulnérabilités du nouveau système d’exploitation.

Malgré toutes les déclarations des représentants de Microsoft qui affirmaient que ce système d’exploitation avait pratiquement été développé à partir de zéro, que des mesures sans précédents avaient été prises pour identifier les erreurs très tôt dans le développement du code et que la méthodologie de test utilisée était unique, tout le monde savait qu’il y aurait des problèmes.
La question n’était pas de savoir si des vulnérabilités critiques allaient être découvertes dans Vista, mais bien quand celles-ci allaient être identifiées.

Le 30 janvier 2007 marqua le début de la commercialisation de Microsoft Vista et le début de la course à la recherche de vulnérabilités. Tous les pirates du monde entier avaient uniquement Vista dans leur collimateur. Leur objectif était le code d’exploitation 0jour qui permettrait de développer un programme malveillant.

Deux semaines plus tard, le 13 février, Microsoft publia son correctif mensuel. Il visait à combler 6 vulnérabilités critiques et 6 vulnérabilités importantes. Parmi celles-ci, la traditionnelle vulnérabilité affectant Microsoft Excel. Dans les éditions antérieures de ce rapport, nous avons déjà évoqué à plusieurs reprises cette cascade de failles découvertes en 2006 dans Microsoft Office. Malgré tous les correctifs publiés, de nouvelles vulnérabilités ne cessent d’être identifiées et elles sont exploitées immédiatement par les individus mal intentionnés ?

Toutefois, la liste des vulnérabilités du mois de février ne contenait aucune faille applicable à Vista ! Ce fait était étonnant et il aurait pu s’agir du premier élément confirmant la sécurité du nouveau système d’exploitation, toutefois il était encore trop tôt pour se réjouir. Les vulnérabilités supprimées en février avaient été identifiées avant la commercialisation de Vista. Certains éléments avaient déjà été identifiés dans Vista. Ces correctifs n’auraient jamais eu le temps de se retrouver dans la mise à jour du mois de février. Il fallait attendre le mois de mars pour comprendre la situation réelle.

Une nouvelle sensationnelle fut diffusée le 11 mars. Le géant de Redmond n’avait pas l’intention ce mois-ci de diffuser une nouvelle mise à jour pour ses logiciels. Il s’agissait de la première fois depuis plusieurs années que Microsoft ne devait rien corriger au cours d’un mois. Cet événement unique aurait pu être la confirmation de la résolution définitive de tous les problèmes existant dans toutes les versions de Windows. Toutefois, les explications ultérieures permirent de voir que la situation était loin d’être parfaite. En fait, les experts de Microsoft étaient occupés à tester les correctifs diffusés le mois précédent. « « Microsoft continue à étudier les vulnérabilités potentielles et confirmées dans le but de protéger ses clients. La création de mises à jour de sécurité qui éliminent efficacement et complètement les erreurs est un long processus qui requiert plusieurs étapes ». Cette déclaration ne pouvait être interprétée que d’une seule manière : il existe des vulnérabilités, elles sont connues mais il n’est pas possible de les éliminer rapidement. Au même moment, la société Eye Digital Security signalait l’existence de cinq vulnérabilités non rectifiées dans Windows.

Le temps était à l’orage. La situation était assez inquiétante et trois semaines plus tard, la tempête éclatait.

Le 29 mars 2007, les éditeurs de logiciels antivirus découvrirent quelque chose d’effrayant parmi le flot de nouveaux virus. Des fichiers au format ANI (curseur animé) furent découverts sur plusieurs sites chinois. Dès que cette page était consultée, divers chevaux de Troie, principalement de la catégorie Trojan-Downloader, étaient installés dans le système.

On remarqua également des messages électroniques contenant des fichiers ANI suspects. Les analyses permirent de démontrer qu’il s’agissait d’une nouvelle vulnérabilité dans le traitement des fichiers graphiques qui pouvait également toucher Windows Vista.

La course à l’identification de vulnérabilités dans Vista venait de se terminer après moins de deux mois. Elle se terminait sur le pire des scénarios : la victoire de pirates chinois. Ils exploitèrent cette vulnérabilité pour diffuser des virus et il n’existe aucun correctif.

Le plus décevant est que nous avions déjà été confrontés il y a deux ans à cette vulnérabilité dans le traitement des fichiers ANI. En janvier 2005, des centaines de sites et de fichiers contenant la vulnérabilité Exploit.Win32.IMG-ANI (selon le classement de Kaspersky Lab) avaient été recensés. Microsoft corrigea le problème via le correctif MS05-002, mais bâcla le travail. De plus, toutes les déclarations sur le développement depuis zéro, sur les vérifications multiples du code, sur les tests et sur l’impossibilité de trouver de telles erreurs furent réduites à néant par la simple apparition de petites vulnérabilités dans les fichiers de curseur.

Il ne restait plus à Microsoft qu’à diffuser un communiqué de presse sur la nouvelle vulnérabilité CVE-2007-1765 et de l’ajouter à la liste des problèmes confirmés pour le système d’exploitation. Les éditeurs de logiciels antivirus continuent, quant à eux, d’enregistrer l’apparition de nouveaux sites infectés et de nouveaux chevaux de Troie.

En moins d’une semaine, la société Websense a découvert plus de 500 sites infectés capables d’infecter chaque visiteur. La majorité des incidents impliquait une infection par quelques variantes de chevaux de Troie espions développés pour le vol des données des comptes d’utilisateur de jeux en ligne (World of Warcraft, LineAge).

Le risque d’épidémie mondiale était présent. eEye Digital Security diffusa son propre correctif officieux pour lutter contre cette vulnérabilité. Cette situation n’était pas sans rappeler le cas où Microsoft avait refusé de diffuser un correctif en dehors de sa diffusion mensuelle des mises à jour. Souvenez-vous. Il s’agissait de la vulnérabilité dans le traitement des fichiers WMF découverte en décembre 2005. Il fallu attendre près de trois semaines entre la découverte du problème et la diffusion du correctif. Et en septembre 2006, il fallut dix jours uniquement à Microsoft pour corriger la dangereuse vulnérabilité MS06-055.

Cette fois-ci, les experts de Microsoft déployèrent tous leurs efforts pour régler le problème le plus vite possible et un correctif d’urgence MS07-017 fut diffusé le 3 avril. La vulnérabilité fut désignée Vulnerabilities in GDI Could Allow Remote Execution (des vulnérabilités dans GDI pourraient permettre une exécution de code à distance) et la liste des systèmes d’exploitation compromis était impressionnante :

  • Microsoft Windows 2000 Service Pack 4;
  • Microsoft Windows XP Service Pack 2;
  • Microsoft Windows XP Professional x64 Edition et Microsoft Windows XP Professional x64 Edition Service Pack 2;
  • Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1 et Microsoft Windows Server 2003 Service Pack 2;
  • Microsoft Windows Server 2003 for Itanium-based Systems, Microsoft Windows Server 2003 with SP1 for Itanium-based Systems et Microsoft Windows Server 2003 with SP2 for Itanium-based Systems;
  • Microsoft Windows Server 2003 x64 Edition et Microsoft Windows Server 2003 x64 Edition Service Pack 2;
  • Windows Vista;
  • Windows Vista x64 Edition.

Et la liste des vulnérabilités corrigées par ce correctif était toute aussi impressionnante :

  • Vulnérabilité GDI d’élévation locale de privilèges (CVE-2006-5758);
  • Vulnérabilité WMF de déni de service (CVE-2007-1211);
  • Vulnérabilité EMF d’élévation de privilèges (CVE-2007-1212);
  • Vulnérabilité GDI d’élévation locale de privilèges de taille de fenêtre invalide (CVE-2006-5586);
  • Vulnérabilité d’exécution à distance pour les fichiers de format de curseurs Windows (CVE-2007-0038);
  • Vulnérabilité GDI de paramètre incorrect d’élévation de privilèges (CVE-2007-1215);
  • Vulnérabilité d’interprétation des polices (CVE-2007-1213).

Sur ces sept vulnérabilités, 3 fonctionnaient sous Vista (vulnérabilité EMF d’élévation de privilèges, vulnérabilité d’exécution à distance pour les fichiers de format de curseurs Windows et vulnérabilité GDI de paramètre incorrect d’élévation de privilèges) et deux furent découvertes en 2006 et rectifiées uniquement maintenant !

Les spécialistes de Microsoft expliquèrent comment la société avait réussi, en quatre jours, à développer et à diffuser des correctifs pour un nombre si important de vulnérabilités. On pouvait lire sur le blog du Microsoft Security Response Center :

«Je suis sûr que les gens se demandent comment nous avons pu diffuser une mise à jour pour ce problème aussi vite. Comme je l’ai dit vendredi nous avons découvert ce problème vers la fin du mois de septembre 2006 et depuis lors, nous avons consacré nos efforts à l’enquête et à la mise à jour de sécurité. Cette mise à jour aurait dû être diffusée dans le cadre de notre publication mensuelle le 10 avril 2007. Etant donné le risque accru suite aux attaques les plus récentes, nous avons accéléré nos tests pour garantir une large diffusion de la mise à jour avant le 10 avril.»

C’est incroyable. Le problème était connu depuis le mois de décembre dernier mais tout au long de cette période, Microsoft s’est contenté de réaliser des tests, de passer la mise à jour du mois de mars et de tout diffuser le 10 avril. Cette vulnérabilité était connue de Microsoft, et des représentants d’underground-a, depuis trois mois. Nous ne pouvons que deviner le nombre d’attaques réalisées durant cette période.

Ce cas a démontré que Windows Vista ne se distingue absolument pas des autres systèmes d’exploitation lorsqu’il s’agit des erreurs et des vulnérabilités. Ce cas témoigne de l’échec des nouveautés introduites par Microsoft dans le domaine de la sécurité du programme et de la création d’un code sans erreurs. Ce cas a démontré que les exploits 0jours utilisés par les pirates informatiques avant la diffusion d’un correctif officiel sont toujours d’actualité.

Conclusion

Les événements du premier trimestre 2007 ont confirmé nos pires prévisions. Les auteurs de virus utilisent toujours la stratégie reposant sur une multitude d’épidémies de courte durée qui consiste à diffuser en quelques heures sur Internet diverses variantes d’un même programme malveillant, ce qui complique la tâche des éditeurs de logiciels antivirus. Vista est devenu la cible principale des pirates et, outre la recherche de vulnérabilités dans ce système, les pirates s’intéressent au contournement des modules de protection, tels qu’UAC, contre le débordement de mémoire, et Patch Guard.

Le deuxième trimestre devrait permettre de dégager les principales tendances de cette année et de montrer ce qui se passe réellement au niveau du développement de moyens de protection dans les systèmes d’exploitation modernes et quelles seront les modes d’attaque choisis par les individus mal intentionnés.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *