Evolution du malware – troisième trimestre 2006

Sommes –nous à la veille d’un nouvel axe viral ?

Les six premiers mois de 2006 se distinguait par une complexité accrue des problèmes techniques auxquels étaient confrontées les sociétés de solutions de sécurité informatique allant des nombreuses nouveautés virales conceptuelles à l’intérêt croissant des pirates pour Microsoft Office. En gros, tout cela ressembait à un magma d’idées trépidantes générées par les deux fronts de la guerre virale. La pro-activité, la cryptographie (ou chiffrement), les rootkit, les brèches ont été au cœur de nos rapports du 1er et 2ème trimestre. Mais après un tel pic d’activité, le calme est inévitable lorsque les deux camps se tournent vers l’évaluation du succès ou de l’échec de tels ou tels concepts. Cette accalmie du troisième trimestre coïncide donc avec la période de repos tant attendu – l’été.

Durant cette période, aucune épidémie importante n’a été enregistrée alors qu’on redoutait le mois d’août qui, comme le veut la tradition de ces trois dernières années, a été synonyme de d’épidémies importantes. Rappelons-nous – 2003 c’est la vulnérabilité MS03-026 et le ver Lovesan. 2004 était l’année de Zafi et Bagle alors que 2005 a mis en émoi CNN, ABC, New York Times et d’autres organisations américaines avec la diffusion du ver Bozori (Zotob) qui exploitait la faille MS05-039.

En 2006, aucun nouveaux virus conceptuels n’a été détecté ce qui signifie que les auteurs de virus ont employé leur temps à examiner les possibilités démontrées par le flot de nouveaux POC (ProofOfConcept) du premier semestre 2006.

En résumé, tout était relativement calme sur fond de guerre virale quotidienne de l’Internet.

Brèches dans Office

Dans le rapport du deuxième trimestre 2006, nous avions déjà exploité cette question, qui est rapidement devenue une question clé dans le domaine de la sécurité informatique. Tout a débuté au mois de mars. Nous avions à peine le temps de détecter les vulnérabilités qui apparaissaient les unes à la suite des autres dans différents programmes du package Microsoft Office. Word et Excel et Power Point sont tombés dans le champ de vision des « blackhat ». En trois mois, le nombre de failles était pratiquement au nombre de 10 et ces dernières étaient pratiquement connues de tous avant la publication des correctifs nécessaires de Microsoft.

Qui plus est, les auteurs de virus se sont adaptés au planning d’édition de mises à jour de Microsoft (tous les deuxièmes mardis du mois) et ont fait en sorte de diffuser leurs méfaits quelques jours après seulement (pas plus d’une semaine) après la sortie du correctif du mois. En d’autres termes, pendant presque un mois, des vulnérabilités étaient exploitées par des pirates et pendant tout ce temps les internautes étaient sans défense.

Mais il y a encore plus grave. Kaspersky Lab ainsi que les autres éditeurs d’antivirus, dans leur lutte contre les programmes malicieux exploitant les failles d’Office, ont mené leur propre enquête sur ces brèches. L’analyse a montré que ces brèches présentaient toutes le même problème dans les documents au format OLE (fichiers créés à partir de MS Office). Il ne suffisait donc pas de se limiter à l’édition d’un patch pour chaque brèche identifiée. Microsoft se devait de revoir intégralement la technologie d’élaboration de la structure des objets OLE. Un patch mensuel n’est pas sans rappeler les rustines cousues sur les filets de pêcheur – le nombre totales de place sur les objets OLE potentiellement vulnérables sont supérieures à 100.

Au troisième trimestre rien n’a changé. Les cyber-criminels ont fait preuve d’une intense activité, en particulier les pirates chinois, et n’ont cessé de surprendre Microsoft avec des nouveaux Trojans tandis que ce premier continuait d’éditer des patchs mensuellement.

Juillet (3 vulnérabilités)

  • Microsoft Security Bulletin MS06-037
    Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (917285)

  • Microsoft Security Bulletin MS06-038
    Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (917284)

  • Microsoft Security Bulletin MS06-039
    Vulnerabilities in Microsoft Office Filters Could Allow Remote Code Execution (915384)

Août (2 vulnérabilités)

  • Microsoft Security Bulletin MS06-047
    Vulnerability in Microsoft Visual Basic for Applications Could Allow Remote Code

  • Execution (921645)
    Microsoft Security Bulletin MS06-048

  • Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (922968)

Septembre (1 vulnérabilité)

  • Microsoft Security Bulletin MS06-054
    Vulnerability in Microsoft Publisher Could Allow Remote Code Execution (910729)

Cela est presque devenu amusant. Au sein de Kaspersky Lab, nous en étions à faire des paris du type – « dans combien de jours apparaitra une nouvelle brèche dans Office après la sortie du patch». La question de savoir si une nouvelle brèche allait être identifiée ne se posait même plus. Nous parions sur les jours que prendrait sa découverte. Il faut aussi savoir que pratiquement derrières toutes ces vulnérabilités se cachent jusqu’à des dizaines de chevaux de Troie identifiés soit dans le trafic de courrier soit sur les ordinateurs des utilisateurs. Nous sommes d’ailleurs reconnaissants envers nos confrères de la sécurité informatique et en premier lieu à Trend Micro qui se sont avérés les détecteurs involontaires de ces failles et des Trojans et ont averti Microsoft du danger. Comme nous l’avons déjà souligné plus haut, les pirates chinois ont été particulièrement actifs dans l’exploitation de ces vulnérabilités avec la diffusion de Trojans. Les backdoors chinoises Hupigon, PcClient, HackArmy étaient axés sur les utilisateurs d’Europe, d’Asie et des Etats-Unis. Il est possible que cette lutte des sociétés de logiciels antivirus contre les pirates ait donné l’impulsion aux attaques massives de DDoS qui ont visé ces mois-ci plusieurs sites d’éditeurs antivirus via les réseaux zombies crées par les Trojans en question.

Laissons-nous aller à un raisonnement perfide. Il est possible que nous ayons affaire non pas à un sursaut ordinaire d’attaquants envers le logiciel en question. Peut-être avons-nous à faire à une attaque planifiée et minutieusement déployée contre Microsoft. Et dans ces cas là, qui et pourquoi ?

On ne distingue pas à travers ces attaques le même groupe d’auteurs, toutefois il est difficile d’admettre que pendant six mois, tous les mois, de nouvelles brèches apparaissent suite aux efforts de différents pirates immédiatement après la correction des précédentes. Ce n’est pas possible que des auteurs de virus disparates dans différents pays du monde se mettent en tête de « dévoiler » des vulnérabilités conformément au calendrier de publications de Microsoft. En règle générale, lorsqu’ils détectent un nouvel exploit, ils n’attendent pas plusieurs semaines avant de l’utiliser. Dans le monde de la cybercriminalité tout comme dans les affaires – « le temps c’est de l’argent ». Et pour ce qui est des exploits et de l’argent – nous avons déjà abordé le sujet avec la vulnérabilité dans le traitement des fichiers WMF – ça peut aller très loin lorsque l’exploit d’une vulnérabilité se vendait sur des forums pirates pour 4000$ (voir rapport du 4ème trimestre 2005).

MS Office est le deuxième produit principal de Microsoft et représente pratiquement la moitié de ses bénéfices. Office est une application standard de facto pour les applications de bureaux et occupe une situation monopolistique sur le marché. Une telle situation ne convient pas aux concurrents qui essayent en vain et sans grand succès depuis plusieurs années de développer des logiciels analogues. Dans une majorité de pays, il n’existe pas d’interdiction juridique quant à la recherche de vulnérabilités. La détection et la publication de vulnérabilités concernant les logiciels concurrents, est un problème plus éthique que juridique. L’apparition de nouvelles brèches quelques jours après l’édition de patchs ressemble pourtant à une tentative de discrimination à l’égard de Microsoft en tant que société spécialisée dans la sécurité informatique et de discrédit de son système de publication de correctifs.

Microsoft ne compte plus ses ennemis. MS Office peut effectivement être discrédité aux yeux des utilisateurs en raison des nombreuses vulnérabilités et d’attaques de virus connexes.

La situation reste compliquée. Toutefois, le nombre de brèches trouvées dans Office (conformément au nombre dévoilé dans Microsoft Security Bulletin http://www.microsoft.com/technet/security/current.aspx) est à la baisse en cette fin de trimestre. Cela ne veut pas dire pour autant que le problème est réglé. Bien au contraire, nous devons nous attendre à des méthodes malicieuses encore plus subtiles à l’encontre de Microsoft Office. D’autant plus que Microsoft a mis en ligne une version beta du package Office 2007, autrement dit les hackers ont un nouveau projet à l’étude.

Ce compte-rendu est rédigé au mois d’octobre et nous savons donc déjà combien de vulnérabilités ont été corrigées dans Office dans le bulletin du mois d’octobre. Nous pouvons les prendre en compte dans cette étude puisqu’elles ont été détectées en septembre 2006.

Octobre

  • Microsoft Security Bulletin MS06-058
    Vulnerabilities in Microsoft PowerPoint Could Allow Remote Code Execution (924163)

  • Microsoft Security Bulletin MS06-059
    Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (924164)

  • Microsoft Security Bulletin MS06-060
    Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (924554)

  • Microsoft Security Bulletin MS06-062
    Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (922581)

Nouveautés sur le front des mobiles

Le problème posé par les virus mobiles a toujours été et restera un des thèmes les plus intéressants, aussi bien pour Kaspersky Lab que pour moi. Les fidèles lecteurs de nos rapports analytiques ont pu le constater au travers des nombreuses études à ce sujet. Par exemple, dans notre rapport semestriel « programmes malveillants pour appareils nomades », toutes les classes et les types de codes malicieux mobiles ont été passés au crible. Il ne reste qu’à compléter avec les évènements du troisième trimestre 2006.

Nous avons identifié quatre virus mobiles qui méritent une attention particulière car ils se démarquent des skuller (Trojan sur l’OS Symbian pour plateformes mobiles) primitifs.

ComWar v3.0

Observons-les par ordre d’apparition. En août, les éditeurs d’antivirus interceptaient un énième échantillon du ver MMS le plus diffusé – ComWar. Son analyse a déterminé qu’il contenait le texte suivant :

CommWarrior Outcast: The Dark Masters of Symbian.
The Dark Side has more power!
CommWarrior v3.0 Copyright (c) 2005-2006 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it’s original unmodified form.

La différence avec les variantes précédentes ne résidait pas seulement dans l’appellation nominale de la version – « 3.0 » mais dans une énième nouveauté technologique déployée par l’auteur russe de ComWar. Dans cette variante, pour la première fois, il a déployé une possibilité d’infection de fichiers. Le ver cherche sur le téléphone d’autres fichiers sis et y rajoute son code. Il obtient ainsi une méthode de propagation tierce en plus des traditionnels MMS et Bluetooth.

De fait, ComWar réunit pratiquement à lui seul toutes les formes possibles d’infiltration et de diffusion à l’heure actuelle. A l’exception d’une seule. Et cette dernière a été employée fin août par un autre ver – Mobler.A.

Mobler.A

Ce ver est le premier malware multiplateforme capable de fonctionner à la fois sur les systèmes d’exploitation Symbian et Windows. La fonction de propagation consiste en la copie du ver à partir de l’ordinateur sur le téléphone et inversement. Lorsqu’il est lancé sur le PC, il crée sur le disque E: (en général, le disque E: supporte les appareils mobiles connectés au PC) son fichier sis. Ce fichier contient quelques fichiers vides et le ver les utilise pour réécrire une série d’applications système du téléphone. De même que le fichier contient un composant de ver Win32 qui se copie sur la carte mémoire amovible du téléphone et il crée un fichier autorun.inf. Lors de la connexion du téléphone infecté à un PC et de la tentative d’accéder à la carte mémoire du téléphone, le ver est automatiquement exécuté et infecte l’ordinateur.

Il ne s’agit pour l’instant que d’un concept dont l’auteur est inconnu mais en théorie, une telle méthode de diffusion des virus mobiles peut devenir très populaire. Il est même possible qu’il exerce une influence beaucoup plus grande sur le monde des virus mobiles qu’une diffusion via MMS. Ainsi, les ordinateurs ne sont pas moins menacés que les téléphones, ces premiers représentant une source de données bien plus attractive. D’ailleurs, il est plus juste de voir en Mobler.a non pas une nouvelle méthode d’infiltration pour téléphone, mais un nouveau vecteur d’attaques sur les ordinateurs personnels.

Acallno

Le monde des virus mobiles est pour l’instant stagnant. Pratiquement toutes les technologies possibles, types et classes de programmes malicieux pour les plateformes Symbian ont été exploitées. La seule chose qui nous sauve d’une diffusion massive de ces virus est la faible quantité de smartphones ainsi que l’absence de réels avantages « financiers » suite à l’infection d’un téléphone. Les possibilités de vols d’informations sur un téléphone sont pour l’heure limitées au répertoire d’adresses, les appels effectués et les SMS reçus/envoyés. Toutefois, un Trojan est spécialisé dans la collecte d’informations sur les SMS – le très intéressant Acallno.

Il s’agit du produit commercial d’une certaine société, conçu pour espionner les utilisateurs d’un téléphone en particulier. Acallno s’installe sur un téléphone donné en fonction du code IMEI et ne sera pas actif sur un autre téléphone même si l’on copie ses fichiers. Il masque sa présence dans le système, ce qui ajouté à sa fonction d’espion nous oblige à le considérer comme un programme malicieux. Ce Trojan (nous le classifions ainsi sachant toutefois qu’il est vendu sur des bases légales) duplique tous les SMS reçus et envoyés à partir du téléphone, vers un numéro intégré.

Wesber

Non content de voler le contenu d’un SMS, on peut aussi à l’aide de ce dernier dérober de l’argent à partir de l’abonnement mobile de l’utilisateur. Cette option est réalisée en intégralité dans le Trojan J2ME – Wesber. Découvert début septembre par nos spécialistes, Wesber est le deuxième Trojan que nous connaissons capable de fonctionner non seulement sur les smartphones mais pratiquement sur n’importe quel téléphone mobile moderne. Ceci grâce au fait qu’il est écrit pour la plateforme Java (J2ME).

Comme son prédécesseur, le Trojan RedBrowser, Wesber.a est spécialisé dans l’envoi de SMS vers un numéro payant premium. Pour chacun de ces SMS, l’abonnement de l’utilisateur est débité de 2.99$. Encore récemment, le fonctionnement de ces numéros de téléphones chez les opérateurs de téléphonie russes était relativement simple, et se lancer à la recherche du cyber-malfaiteur aurait été problématique si de tels Trojans s’avéraient nombreux. A l’heure actuelle, face à l’augmentation du nombre de fraudes par SMS, les opérateurs mobiles ont pris des mesures pour s’y opposer et en particulier, renforcer les règles de souscription à de tels numéros (http://mobile-review.com/articles/2006/virus-mobile.shtml).

On pourrait s’arrêter là concernant les virus mobiles du troisième trimestre 2006, mais il reste un sujet à aborder. Il n’est pas directement lié aux téléphones mobiles pourtant il est indubitablement lié aux problèmes de sécurité des appareils et des réseaux sans fils.

Les vers WiFi sont presque une réalité !

En août, la société Intel a annoncé l’existence d’une vulnérabilité sérieuse dans le processeur Intel Centrino et plus exactement dans la fonction liée aux réseaux sans fil Wi-Fi. Evidemment les détails concernant la vulnérabilité sont passés sous silence pourtant il était connu que le problème résidait dans « Execute arbitrary code on the target system with kernel-level privileges ».

Les corrections nécessaires ont immédiatement été mises en place sur les ordinateurs portables touchés mais ce qui nous intéresse ici est le fait que ce qui était purement théorique est presque devenu réalité. Il s’agit des vers WiFi.

On peut imaginer plusieurs scénarios de fonctionnement d’un tel ver mais il est préférable de ne pas les développer afin de ne pas pousser les auteurs de virus à les réaliser. Tout est assez clair cependant. Si une vulnérabilité de la sorte existe chez Intel Centrino, alors l’apparition d’un ver qui passera d’ordinateur portable en ordinateur portable dans le rayon d’action de son adaptateur WiFi devient très probable.

Le principe de fonctionnement est très simple, il suffit de se rappeler les vers de réseaux classiques du type Lovesan, Sasser ou Slammer. Le ver détecte un ordinateur nomade vulnérable et lui envoie un exploit adapté. A la suite de quoi l’ordinateur attaqué offre au ver la possibilité de transmettre son corps et d’entreprendre le cycle d’infection et de propagation habituel. La seule difficulté consiste en la recherche de victimes à attaquer étant donné que la sélection par adresses MAC est une tache très complexe et l’option de sélection par adresses IP ne convient pas dans le cas présent. De fait, le ver ne peut attaquer que ses « voisins » selon le point d’accès par adresses IP. Et il ne faut pas oublier qu’un grand nombre de laptop sont activés en mode recherche de points WiFi par défaut.

Soulignons qu’il s’agit là d’un des scénarios possibles pour les vers WiFi. Les vulnérabilités dans les adaptateurs sans fil se font encore rares mais qui sait ce que nous réserve l’avenir ? Il n’y a encore pas si longtemps, beaucoup de croyaient pas aux virus pour la téléphonie mobile…

Les virus pour systèmes de messagerie instantanée

Au cours de l’année passée, un des problèmes les plus marquants de l’insécurité informatique se sont avérés les programmes malicieux se diffusant sur les clients de messagerie instantanée (IM) tels qu’ICQ, MSN, AOL. Début 2005 était marqué par l’apparition d’une multitude de vers IM primitifs qui démontrait que la méthode de diffusion de liens vers des programmes malicieux placés sur des sites corrompus était pratiquement aussi efficace que l’envoi de virus par courrier. En dépit du fait que tous les pagers Internet possèdent une fonction de transfert de fichiers, les auteurs de vers IM évitent (ou ne savent pas utiliser) cette méthode d’infiltration dans le système. Depuis lors et jusqu’à maintenant, le principal type d’attaques IM est réalisé via l’envoi d’un lien vers un site où est localisé un programme malicieux. L’utilisateur ouvrira presque immanquablement le lien envoyé par un de ses contacts (de nombreux Trojans envoient les liens depuis la liste de contacts du client IM). A ce moment le programme malicieux, via les exploits des différentes vulnérabilités dans Internet Explorer ou bien via un téléchargement et une exécution directe, s’infiltre dans le système.
Progressivement, deux axes principaux de développement et de réalisation de cette pratique ont pris forme via l’utilisation de différents clients IM dans différents pays du monde.

Si dans les pays d’Europe et aux Etats-Unis, les attaques virales principales s’organisent contre les utilisateurs de MSN et d’AOL, en Russie les utilisateurs d’ICQ sont touchés (et autres clients ICQ alternatifs – Miranda, Trillian, etc.). Le fait est qu’en Russie MSN et AOL sont très peu diffusés et peu populaires, de même qu’en Chine, où le client principal d’échanges de messages instantanés est le programme QQ.

Hormis la différence des clients IM attaqués, on assiste à une spécialisation selon les types de programmes malicieux diffusés de la sorte. En occident, les vers IM représentant la plus grosse menace, appartiennent à des familles très connues comme Kelvir, Bropia, Licat qui attaquent AOL et MSN. Hormis la multiplication autonome de la plupart des vers IM, ces derniers ont la capacité d’installer dans le système d’autres programmes malicieux. Par exemple, la plus grande quantité à l’heure actuelle de variantes du ver Bropia, installe sur l’ordinateur infecté une porte dérobée Backdoor.Win32.Rbot., faisant rentrer l’ordinateur hôte dans un réseau botnet. De même qu’il existe une petite quantité de vers attaquant le pager Internet chinois QQ.

Pour ICQ en Russie, la situation est inverse. Les vers qui pourraient se diffuser via ICQ sont très peu nombreux. Par contre, les internautes russes subissent l’assaut des chevaux de Troie et du tristement célèbre Trojan espion LdPinch. Certaines versions de ce Trojan possèdent une fonction particulièrement intéressante. S’infiltrant sur le PC de l’utilisateur et s’appropriant les données dont l’auteur malicieux a besoin, il diffuse à la liste de contacts du client IM de la machine infectée un lien vers le site où est localisé LdPinch. Au troisième trimestre 2006, le segment Internet russe a été témoin de quelques épidémies marquantes de ce type lorsqu’en l’espace d’une journée, des centaines et des milliers d’utilisateurs ICQ recevaient de leurs contacts des liens menant vers des fichiers corrompus, ces derniers se faisant passer pour des liens vers des « images fun » ou « photos d’été ». Les contacts de la liste étaient en fait infectés par les Trojans et le code malicieux installé sur leur machine était responsable de cette diffusion.

Aussi étrange que cela puisse paraître, ICQ ne prend pour l’instant aucune mesure pour mettre en place un filtre capable de supprimer ce type de liens des messages, les empêchant ainsi d’arriver à destination comme c’est le cas avec MSN. Microsoft s’est vu forcé d’intervenir et de bloquer les liens porteurs de fichiers exécutables après les épidémies importantes de vers IM l’année passée. Par ailleurs, le filtre en question n’est pas la panacée. En effet, hormis les liens qui conduisent vers des fichiers infectés, les cyber-criminels peuvent envoyer des liens vers des pages web contenant divers exploits pour navigateurs, en conséquence de quoi les utilisateurs de navigateurs vulnérables peuvent être touchés. Et de manière générale, l’algorithme actuel du filtre MSN est loin d’être parfait ce que confirme un incident de septembre analysé par nos experts.
Fin septembre, un énième sursaut d’activité de vers IM était enregistré sur le segment occidental d’Internet dont le plus notable était le ver IM-Worm.Win32.Licat.c. Ce ver diffusait via MSN les liens suivants :

Ils menaient tous sans exception vers différents Trojans.Downloaders qui installaient à leur tour des programmes publicitaires (Adware.Win32.Softomate) et autres Trojans liés au adware dans le système. Il va de soi qu’en même temps Licat.c en profitait pour s’installer sur les PC touchés ce qui lui permettait à chaque fois d’entamer un nouveau cycle de diffusion.

Il nous semblait que le filtre MSN devait bloquer les messages de ce type pourtant le ver se diffusait activement. L’analyse réalisée par notre analyste Roel Schouwenberg a montré que ce filtre ne bloquait pas les liens dont le fichier PIF possèdait une extension différente de .pif. Autrement dit il ne réagissait pas aux lettres majuscules ! Les auteurs du ver exploitaient cette faille et le filtre laissait passer les liens à extension .PIF. Nous avons notifié le problème à Microsoft et cette erreur a été rapidement corrigée.

Ces exemples montrent qu’à l’heure actuelle, il n’existe pas de protection efficace contre une telle méthode de diffusion des codes malicieux. Le seul problème est lié au facteur humain : la confiance aux liens en provenance de contacts connus est très forte et cette situation n’est pas sans rappeler celle des vers de courrier – lorsque les internautes ouvraient tous les fichiers reçus par courrier. Désormais, c’est avec le même entrain qu’ils ouvrent les liens envoyés par messagerie instantanée.

Le conseil que nous donnons depuis plus d’un an et demi est toujours d’actualité. Nous recommandons aux administrateurs système et spécialistes de la sécurité informatique d’être extrêmement vigilants face au danger que représentent les clients IM et si possible d’implanter dans les entreprises des règles de sécurité interdisant l’utilisation de ce type programmes. Qui plus est, prenant en compte la méthode de diffusion de ces vers sur les ordinateurs (par lien ouvert dans un navigateur vulnérable) il est nécessaire de vérifier tout le trafic entrant http.

Toujours plus sur les vulnérabilités

De fait, dans nos rapports analytiques on rencontre le mot « vulnérabilité » plus souvent que le mot « virus ». Ce qui reflète assez bien la situation dans laquelle se trouve aujourd’hui la sécurité informatique. Il est loin le temps lorsque les virus pouvaient exister et se diffuser selon la volonté de leurs créateurs et d’utilisateurs insouciants. Les années de lutte entre les auteurs de virus d’un coté et les éditeurs d’antivirus et les développeurs de logiciels de l’autre a abouti au fait qu’aujourd’hui presque tous les programmes malicieux capables de provoquer des épidémies utilisent des brèches dans les programmes. Les vers de réseau qui doivent leur existence aux vulnérabilités de Windows sont l’exemple criant que l’exploitation d’un trou de sécurité peut conduire à une épidémie de taille mondiale. Les vulnérabilités du navigateur Internet Explorer sont devenues un environnement privilégié pour la diffusion de milliers de Trojan, obligeant les experts à être sur le qui-vive face aux détections potentielles de faille critique, surtout lorsqu’ aucun correctif n’a été édité par l’éditeur.

Au troisième trimestre 2006, la plus grande menace qu’ont subi les utilisateurs en plus des nombreuses vulnérabilités dans Microsoft Office (évoqué plus haut) sont deux autres brèches dans les produits Microsoft. La première, la MS06-040 a forcé de nombreux internautes à se remémorer août 2003. En effet, les deux vulnérabilités ont beaucoup en commun. Tout d’abord, elles appartiennent toutes deux à la plus dangereuse des classes de failles connues – la possibilité d’exécution d’un code arbitraire sur les plateformes Windows via des attaques de réseau. Au mois d’août 2003, la vulnérabilité MS03-026 a causé une gigantesque épidémie avec le ver Lovesan et a engendré par la suite des centaines de vers analogues. Août 2006 aurait pu être aussi épidémique d’autant plus que l’exploit de la vulnérabilité a été publié et n’importe quel auteur de virus pouvait créer son propre ver destructeur.

Les auteurs de virus n’ont pas perdu cette occasion et le lendemain de la sortie du patch de Microsoft, ils lançaient sur Internet plusieurs programmes malfaisants exploitant MS06-040. Le premier d’entre eux est Backdoor.Win32.Vanbot (aussi connu sous le nom de Mocbot). Heureusement, il n’a réussi qu’à nuire aux ordinateurs tournant sous Windows 2000 et Windows XP SP1. Les utilisateurs XP SP2 ne faisaient pas partie du groupe à risque. Le deuxième facteur qui a contribué à la non-épidémie mondiale est qu’il ne s’agissait pas d’un ver capable de se diffuser de manière autonome mais une porte dérobée administré via IRC. A partir de là, on en déduit facilement le but des auteurs de Vandot – la création de botnet pour utilisation ultérieure. La backdoor pouvait se diffuser uniquement à la commande de l’auteur ce qui a limité l’échelle de son infiltration.

Les jours qui ont suivis, quelques programmes utilisant MS06-040 sont apparus et ils étaient tous des variantes diverses oscillant sur le thème de backdoor-botnet. De nombreux anciens programmes malicieux comme Rbot, SdBot ont complété leur arsenal d’exploits avec un nouveau et nous avons commencé à recevoir des mutants dotés de dizaines d’exploits des plus dangereux pour Windows – allant de MS03-026 et finissant par MS06-040. Il est clair que la pénétration de ce malware est incommensurablement plus élevée que celle des concurrents. Heureusement, la substance technologique de cette vulnérabilité et le contenu de l’exploit ne se distinguaient pas beaucoup des précédentes déjà connues (très ressemblante avec MS04-011 et MS05-039) ce qui a permis à de nombreux éditeurs d’antivirus et de pare-feu de bloquer les attaques virales sans mise à jour des produits. L’épidémie a été évitée et août 2006 n’est pas devenu un nouveau mois noir dans l’histoire de la lutte antivirale.
Tout aurait pu changer un mois plus tard – en septembre. Le 19 sur Internet circule une information concernant la détection d’une nouvelle faille dans Internet Explorer. La vulnérabilité touchait la procédure de traitement du langage VML de Vector Graphics Rendering et permettait au cyber-criminel de composer un script qui exécutait un code arbitraire dans le système lorsqu’un internaute visitait un site d’informations contaminé.

Ce même jour, les spécialistes de Sunbelt Software ont découverts des exploits – attaques déployées via cette vulnérabilité – sur quelques sites pornos russes, créés par des hackers. Beaucoup ont ainsi estimé que les pirates russes sont responsables de la création et la propagation de l’exploit en question, comme c’était le cas avec la brèche dans le traitement des fichiers WMF en décembre 2005. Notre enquête n’a toutefois pas confirmé l’origine russe de cette histoire avec VML.

La société danoise Secunia a évalué la brèche comme « extrêmement critique ». Il s’agit du niveau maximal d’une menace et il est justifié par le fait qu’elle pouvait être exploitée sur n’importe quelle version de Windows lors de l’utilisation d’Internet Explorer.

Les jours suivants ont apporté une masse de nouveaux sites pirates avec des exploits en scripts de la vulnérabilité VML. De nombreux auteurs de virus ont profité de la situation pour introduire leurs trojans sur les PC des internautes. La situation était d’autant compliquée qu’il s’agissait d’un exploit 0-day autrement dit, il ne bénéficiait pas de patch Microsoft. Et conformément au calendrier de sortie des mises à jour – le patch devait être disponible trois semaines plus tard c’est-à-dire le 10 octobre. Pour la deuxième fois, nous nous sommes heurtés à un exploit actif et largement utilisé, et à l’absence de correctif. La première fois en décembre 2005 avec WMF. Et comme alors, certains experts indépendants et sociétés ont édité leurs propres correctifs non officiels pour combler les brèches, le but étant de protéger les utilisateurs au plus vite en attendant les correctifs officiels de Microsoft.

Heureusement, la société Microsoft a rapidement pris conscience de la gravité de la situation et a bousculé son planning. Le patch était prêt et publié en un temps record – le 26 septembre, une semaine seulement après la détection de la faille. Cette dernière a reçue l’identificateur MS06-055 et la sortie du patch a coupé l’élan au flux des infections. A l’heure actuelle MS06-055 continue d’être exploitée par les hackers en même temps que d’autres vulnérabilités connues d’Internet Explorer, et nous en appelons à tous les utilisateurs d’installer rapidement les correctifs si ce n’est pas déjà fait.

Conclusion

Ces évènements du troisième trimestre 2006 amènent à penser qu’Internet et la sphère de la sécurité informatique sont à la veille de quelque chose de radicalement nouveau. On peut d’hors et déjà conclure que la deuxième étape de développement des virus et des technologies antivirales est terminée. La première a eu lieu pendant les années 90 lorsque pour lutter contre les virus, des méthodes de détection de signatures suffisaient. La technologie employée par les virus était relativement homogène et les problèmes d’infection étaient facilement solubles.

Début 2000 sont arrivés les vers de réseaux et de courrier déployant pour leur diffusion les vulnérabilités et le facteur humain. La capacité des vers à se diffuser massivement en peu de temps a provoqué la montée en puissance du cyber-crime et les technologies virales sont devenues plus complexes afin de faire face au large spectre des programmes malfaisants. Au premier plan sont arrivés les temps de réaction des éditeurs antivirus, les technologies d’émulation de code, la lutte contre les rootkits, la protection des données de l’utilisateur, le spam, le phishing, les virus mobiles, les vulnérabilités dans les navigateurs et l’équipement de réseau et les menaces multi vecteurs se diffusant non pas seulement par courrier mais à travers le réseau et les pagers Internet.
En 2006, nous assistons à l’épuisement des idées aussi bien du côté de la protection que des attaquants et nos rapports confirment cette tendance. Les auteurs de virus tentent convulsivement de s’opposer aux technologies de défense et développent des preuves de concept virales pour de nouvelles plateformes, s’enfoncent toujours un peu plus dans la recherche de nouvelles vulnérabilités qui n’apportent pas toujours à l’effet escompté. Autrement dit, les menaces créées ne sont pas sérieuses car incapables de porter un coup équivalent à des milliards de pertes comme l’ont fait les vers Klez, Mydoom, Lovesan, Sasser les années précédentes.

Ce qui se passe aujourd’hui, c’est à la fois intéressant, parfois très technique et sérieux (la cryptographie des virus par exemple) mais en général on assiste à une forte diminution du niveau de résistance. Les menaces d’aujourd’hui ne sont plus aussi globales et durables dans le temps comme elles ont pu l’être. Rien de nouveau ne se passe – c’est toujours le même flux de Trojans, virus, vers mais qui a simplement triplé voire quadruplé.

Cet avis sera pour beaucoup discutable mais il me semble que les auteurs de virus actuels se sont adaptés aux performances de la sphère antivirale et ne semblent pas vouloir prendre de l’avance. Les sociétés d’antivirus ne peuvent à l’heure actuelle agir plus vite et ont atteint pour l’instant leur limite technologique face aux menaces. Les auteurs de virus ont l’air de se contenter du temps de réaction des éditeurs d’antivirus qui leur laisse quelques heures voire quelques minutes seulement, mais les résultats obtenus pendant ce laps de temps semblent les satisfaire.

Si la situation est vraiment telle que nous la présentons, alors dans peu de temps tout doit changer. Soit les sociétés antivirales passeront à la nouveauté et s’adapteront au nouvel axe viral soit les nouveaux virus seront radicalement différents ce qui façonnera les nouveaux standards de la protection antivirale.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *