Annonce du 19. juillet 2010

Les fichiers de raccourci Windows, vecteurs d’infection

Très récemment, des rapports ont été publiés au sujet d'un nouveau genre de malware se  propageant par des lecteurs amovibles comme des clés USB. Un malware exploite une nouvelle vulnérabilité découverte dans les fichiers de raccourci, qui permet l’exécution de code aléatoire dans le système. Microsoft a officiellement reconnu la vulnérabilité et publié un avertissement de  sécurité.

Le malware, détecté par G Data comme un Win32.Worm.Stuxnet.A, est malheureusement un ver (et un rootkit) qui dispose de nombreuses ressources. Il peut se propager en utilisant une vulnérabilité 0-Day décrite ici et également mentionnée par le CVE (Common Vulnerabilities and Exposures) comme CVE-2010-2568.

Sans antivirus, Windows (principalement, le Shell de windows) peut être dupé dans l’exécution du code malveillant (un  DLL) car le malware se camoufle dans un fichier de raccourci (.LNK).

Le problème est que le Shell de Windows n'analyse pas le raccourci avant que le graphisme ne soit chargé. Le code malveillant s’exécute alors sans qu’il soit nécessaire de cliquer sur le raccourci ! Il suffit par exemple que l’utilisateur ouvre le dossier contenu sur un support de stockage, pour accéder à n’importe quel fichier légitime, pour qu’il affiche aussi le raccourci et soit alors infecté par ce dispositif.

A noter également que les périphériques USB ne sont pas les seuls vecteurs potentiels : les partages réseau et les partages WebDAV peuvent également être employés pour distribuer les .LNK malveillants. Des plates-formes affectées (essentiellement toutes les versions actuelles de Windows) sont mentionnées dans l'avertissement de sécurité. Et il est probable qu’il n’y ait pas de solutions pour XP SP2 et Windows 2000, qui ne sont plus supportés depuis quelques jours.

Microsoft suggère plusieurs solutions pour limiter les risques :

  • Désactiver l’Autorun de Windows
  • Utiliser des comptes à droits limités (privilégier les comptes utilisateurs standards aux  comptes administrateurs)
  • Bloquer les connexions SMB sur le pare-feu pour réduire le risque de partage de fichiers.
  • Désactiver l'affichage des raccourcis (description ici)
  • Désactiver le service WebClient (description ici)

 

En termes de conclusion, G Data souhaite rappeler qu’il est indispensable de mettre régulièrement à jour son système et l’ensemble de ses applications. L’installation d’un antivirus est aussi fortement conseillée.

 

Annonce du 19. juillet 2010

Contact Presse

G DATA Software France SARL

Jérôme Granger

Public Relations Manager France

2A, rue Danton

92120 Montrouge

Tél: +33 (0)1 41 48 51 46

Mail: Jerome.granger@remove-this.gdata.fr