Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Windows : nouvel exploit zero-day
L'attaque se propage par supports amovibles et touche plusieurs versions de l'OS

Le , par Gordon Fowler

0PARTAGES

2  0 
Microsoft colmate la faille liée aux raccourcis
De Windows avec un correctif qui sortira dans la journée

Mise à jour du 02/08/10

La vulnérabilité liée aux raccourcis de Windows (et aux fichiers .LNK) est à présent corrigée. Un patch de sécurité devrait en effet être proposé dans la journée.

D'après Microsoft, cette faille n'est plus simplement exploitée par Stuxnet, un malware qui cible les applications sensibles de Siemens dans les industries stratégiques (lire ci-avant). Un autre exploit a également été repéré.

Cette deuxième attaque servirait, toujours d'après Microsoft, à propager à un virus, baptisé Sality.AT.

Sality « est connu pour infecter les autres fichiers (rendant le nettoyage complet après l'infection très difficile), pour se copier sur un support amovible, pour désactiver la sécurité et pour ensuite télécharger d'autres logiciels malveillants », déclarent les experts sécurité de la société.

Un virus classique, mais « particulièrement virulent ».

A tel point que face à la croissance quasi-exponentielle des attaques de ce deuxième virus (beaucoup plus rapide en tout cas que celles de Stuxnet), Christopher Budd, un des responsables de la sécurité de Microsoft, explique qu'il était impératif de sortir un correctif sans rester enfermer dans le cycle mensuel classique des mises à jour de l'OS.

Reste à espérer qu'en plein mois d'aout, les responsables IT spécialisés en sécurité ne seront pas (tous) en vacances. Et que ce patch sera non seulement disponible aujourd'hui - comme promis - mais qu'il sera aussi appliqué.

On ne peut en tout cas plus parler d'exploit « zero-day ».

Source : Billet de Christopher Budd, Billet du Microsoft Malware Protection Center sur le malware Sality

Et vous ?

D'après vous, Microsoft a-t-il été suffisamment rapide, pas assez rapide ou extrêmement réactif dans cette affaire ?

MAJ de Gordon Fowler

Windows : au tour de G Data de proposer son outil contre Stuxnet
L'exploit zero-day est-il devenu un moyen de se faire de la publicité ?

Mise à jour du 28/07/10

On ne sait pas encore à quelle date la faille qui a permis l'exploit zero-day dont est actuellement victime Windows sera officiellement colmatée par Microsoft.

Les éditeurs en profitent.

Après Sophos, (lire ci-avant), c'est au tour de l'allemand G-Data de proposer son outil : « les premières approches pour colmater la vulnérabilité n'ont pas été vraiment couronnées de succès », écrit un porte parole de la société sans préciser s'il ne vise que Fix It (la solution de Microsoft), ou également celle de Sophos.

« Les spécialistes de G*Data ont à présent développé un fix, le “G Data LNK Checker” […] L'utilisateur est protégé contre les dangereux fichiers .Lnk (NDR : les raccourcis) ».

Ce patch est une solution temporaire destinée à être désinstallée au moment de la sortie du correctif de Windows. Elle transforme l'icône des fichiers suspects en panneau de sens interdit pour en bloquer l'exécution automatique et avertir l'utilisateur.

Cette solution, comme celle de Sophos, n'est pas soutenue par Microsoft. La politique de Redmond sur ces sujets est claire : Microsoft décline systématiquement toute responsabilité liée à l'application de solutions de sociétés tierces et recommande de n'utiliser que ses propres outils.

Si l'expérience vous tente tout de même, G Data LNK Checker est disponible sur cette page.

Si l'on avait l'esprit sarcastique, on pourrait par ailleurs se demander si cette attaque n'est pas devenue une aubaine pour les éditeurs qui semblent y avoir trouvé un moyen de communication publicitaire idéal.

Mais nous ne sommes pas sarcastiques.

Source : Communiqué de G-Data

Et vous ?

Pour le éditeurs de sécurité, cet exploit zero-day est-il devenu le moyen idéal de se faire de la publicité gratuitement ?

MAJ de Gordon Fowler

Windows : Sophos sort un outil pour contrer Stuxnet
Et l'exploit zero-day, en attendant le correctif de Microsoft sur les raccourcis de l'OS

Mise à jour du 27/07/10

Le récent exploit zero-day (faille exploitée avant qu'un correctif ne soit sorti) contre plusieurs versions de Windows (lire ci-avant) continue d'alimenter les blogs des éditeurs de sécurité.

Chez Symantec, on affirme avoir « découvert que W32.Stuxnet a déjà infesté plus de 14 000 adresses IP en seulement 72 heures, dont la plupart en Iran, pour accéder à des informations sensibles et notamment aux systèmes SCADA, qui pilotent les technologies industrielles dans des domaines tels que l’eau, l’électricité, le pétrole ou encore les substances chimiques ».

Symantec affirme également avoir dérouté et bloqué le trafic vers un serveur distant en localisé Malaisie pour empêcher les attaquants de pouvoir contrôler les machines infectées et récupérer les informations.

L'éditeur avoue en revanche ne pas savoir qui sont les auteurs de cette attaque très complexes (« Il est clair qu’ils sont loin d’être des amateurs », souligne Laurent Heslault, Directeur des Technologies de Sécurité chez Symantec) et très ciblées (ce qui « démontre une profonde connaissance des logiciels utilisés pour contrôler des processus industriels »). Les spéculations sur ces auteurs vont, elles aussi, commencer à aller bon train.

Sophos, de son coté, propose un outil gratuit pour se prémunir contre cet exploit (tout en soulignant que ses clients sont déjà protégés).

Pour mémoire, la faille de Windows est liée aux raccourcis de l'OS. Microsoft avait préconiser de désactiver ces raccourcis en modifiant le registre (puis automatiser la tâche avec un outil nommé Fix It – lire ci-avant). Mais cette action (et ce patch) rendaient l'utilisation de Windows plus que chaotique.

En attendant la sortie d'une mise à jour de sécurité officielle, Sophos propose donc d'appliquer sa solution.



Une solution qui n'a, rappelons-le, pas l'aval de Microsoft.

Source : Communiqué de Symantec et la page du Windows Shortcut Exploit Protection Tool de Sophos

Et vous ?

D'après vous qui est l'auteur de cette attaque ?
Microsoft est-il trop lent à patcher cette faille ou Sophos s'est-il précipiter pour se faire de la publicité ?

MAJ de Gordon Fowler

Windows : Bilan sur le nouvel exploit zero-day
Une attaque particulièrement ciblée, étudiée et complexe pour les experts

Mise à jour du 21/07/10

Beaucoup a été dit sur la dernière attaque zero-day contre différentes versions de Windows (XP, Vista, Windows 7, Server 2003)

Pour faire le point sur cet exploit, nous avons tenté de résumer les choses clairement.

Voici les faits.

L'attaque utilise les supports amovibles (clefs USB, DD externes, etc.).

Le malware est un vers baptisé Stuxnet (Win32.Stuxnet).

Lorsque le support amovible est connecté à une machine, celle-ci est infectée à partir du moment où le raccourci corrompu s'affiche. L'utilisateur n'a pas besoin de cliquer sur le dit-raccourci. Cette attaque utilise en effet une vulnérabilité des fichiers « .lnk ».

Tout support supplémentaire connecté à la machine attaquée devient à son tour porteur du vers.

Stuxnet vise – aujourd'hui – spécifiquement des produits logiciels de la firme Siemens.

L'attaque utilise deux autres malwares.

Un rootkit camoufle l'activité malveillante, tandis qu'un troisième code malicieux s'exécute pour « renifler » la présence – ou non – du logiciel de Siemens recherché.

Autre point crucial, l'attaque arrive à passer outre les certificats numériques de deux sociétés productrices de puces et de hardware (RealTek et Jmicron).

La thèse du vol des signatures numériques dans les locaux de ces deux sociétés Taïwanaises est avancée, d'autant plus qu'elles sont localisées dans le même complexe industrielle, mais il s'agit pour l'instant d'une hypothèse.

Une fois le logiciel de Siemens trouvé (le logiciel se nomme "Simatic WinCC", Stuxnet utilise un identifiant et un mot de passe par défaut pour prendre le contrôle de la base de données SQL avec laquelle l'application fonctionne.

Pour la petite histoire, ce mot de passe serait disponible sur Internet depuis plusieurs années.

Le malware sélectionne alors les données qu'il a pour mission de chercher, puis les encode et - point étrange - tente de se connecter à un serveur distant pour les transmettre. Etrange puisque l'attaque vise des machines qui – par définition – ne sont pas connectées.

Coté source, l'attaque a d'abord été révélée par Brian Krebs, expert en sécurité, tandis que la société ukrainienne de sécurité VirusBlokAda revendique le premier repérage de Stuxnet.
Une preuve de faisabilité a été publiée la semaine dernière par Didier Stevens.
Microsoft a reconnu dans le même temps l'existence de cette vulnérabilité zero-day tandis que Sophos et Symantec ont publié chacun leurs analyses en début de semaine (lire ci-avant).

Si le malware ne touche que l'es utilisateurs de Simatic WinCC, les autres auraient torts de se réjouir.

Une telle attaque, aussi complexe et aussi ciblée (une première pour de nombreux experts), se fonderait sur un mécanisme assez facilement modifiable pour que le vers puisse s'intéresser à n'importe quelle autre cible. C'est en tout cas ce que craint Sophos.

Siemens et Microsoft travaillent sur des mises à jour.

En attendant ces updates, Microsoft a sortit un patch automatisé... qu'il est fortement recommandé de ne pas appliquer sous peine de voir Windows devenir quasiment inutilisable.

Le fix désactive en effet les raccourcis et transforme toutes les icônes en logo blanc. La barre des tâches et le menu démarrer deviennent ainsi quasiment inutilisables. Microsoft reconnaît d'ailleurs que Fix It (le nom du patch) « impacte la facilité d'utilisation » de l'OS.

Si vous souhaitez néanmoins l'appliquer, il est disponible sur cette page.

Les commanditaires de l'attaque sont encore inconnus (et il y a de fortes chances qu'ils le restent).

Mais l'objectif est clair. Il porte un nom bien connu, lui : espionnage industriel.

Sources :

Bulletin de sécurité de Microsoft

Sophos : ce billet et celui-ci

Le PoC de Didier Steyens

Le billet de Brian Krebs sur l'attaque, et la découverte de Stuxnet par VirusBlokAda

MAJ de Gordon Fowler

Windows : nouvel exploit zero-day
L'attaque se propage par supports amovibles et touche plusieurs versions de l'OS dont Windows 7

Symantec a récemment identifié une nouvelle menace (W32.Temphid) qui se propulse via une méthode inédite en exploitant des vulnérabilités jamais détectées auparavant sur des disques ou clés USB.

Même si elle est encore peu présente en Europe comparé à l’Asie du Sud Est, cette menace jusqu’alors inconnue, utilise un composant rootkit pour masquer les fichiers infectés, empêchant l’utilisateur de voir que la clé est infectée.

Ce maliciel inquiète particulièrement en raison de sa cible puisqu'il touche plusieurs OS de Redmond.



En revanche – bonne ou mauvaise nouvelle – le malware ne s’attaque que peu au grand public et viserait avant tout les systèmes SCADA (Supervisory Control and Data Acquisition), c'est-à-dire les réseaux qui pilotent des technologies industrielles dans des domaines tels que l’eau, l’électricité, le pétrole ou encore les substances chimiques, des systèmes qui ne sont pas connectés à l’Internet et qui utilisent leur propres réseaux pour des raisons de sécurité (et donc susceptibles d'utiliser des supports amovibles puisqu'ils ne sont pas connectés à l'extérieur).

Bien que touchant plusieurs OS, cette menace se développerait principalement sous Windows XP Service Pack 2, version pour laquelle Microsoft ne fournit plus de mise à jour de sécurité.

Microsoft a reconnu la menace et travaille sur un patch de sécurité. Sera-t-il délivré lors du prochain « patch tuesday » ou hors cycle habituelle, on ne le sait pas encore mais une chose est sûre, il devient visiblement de plus en plus urgent de passer à un OS encore supporté (XP SP3, Vista, Windows 7, etc.).

En attendant la mise à jour de Windows, Microsoft propose une solution pour les utilisateurs de disques externes et de clés USB qui consiste à désactiver AutoPlay. Cette manipulation empêchera le lancement automatique de fichiers exécutables lorsque le disque ou la clé USB est branché.

De son coté, Symantec invite les utilisateurs à également déconnecter ces appareils lorsqu’ils ne sont pas utilisés et si l’option est possible, d’activer le mode « lecture seule ».

Source : Blog de Symantec, Bulletin de sécurité de Microsoft

Lire aussi :

Apple numéro un des vulnérabilités selon Secunia mais ces failles seraient peu critiques, suivent Oracle et Microsoft

Microsoft découvre une faille dans MFC qui pourrait aboutir à des dépassements de tampon

La faille de Windows découverte par un employé de Google exploitée sur 10 000 PC, mais aujourd'hui patchée

Les rubriques (actu, forums, tutos) de Développez :

Sécurité
Windows

Et vous ?

Faille intéressante ou faille inquiétante (ou les deux) ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de sevyc64
Modérateur https://www.developpez.com
Le 28/07/2010 à 10:48
Chez Symantec, on affirme avoir « découvert que W32.Stuxnet a déjà infesté plus de 14 000 adresses IP en seulement 72 heures, dont la plupart en Iran, pour accéder à des informations sensibles et notamment aux systèmes SCADA, qui pilotent les technologies industrielles dans des domaines tels que l’eau, l’électricité, le pétrole ou encore les substances chimiques ».
Pour les éditeurs de sécurité, cet exploit zero-day est-il devenu le moyen idéal de se faire de la publicité gratuitement ?
Les éditeurs de logiciels de sécurité ont tout intéret de faire monter la mayonnaise et d'en profiter pour augmenter leur business, même s'il faut exagérer ou déformer les infos.

L'affirmation de Symantec semble d'ailleurs suspecte, "14000 IP en 72 heures" alors que le virus se propage par clé usb et non pas par internet. "La plupart en Iran", Iran, sujet au combien sensible alors que les sources d'infestations les tous premiers jours semblaient plutôt être localisées en Inde, Corée et Japon.

(« Il est clair qu’ils sont loin d’être des amateurs », [...] ce qui « démontre une profonde connaissance des logiciels utilisés pour contrôler des processus industriels »)
Les librairies mises en cause sont de simples API des logiciels Siemens Symatics WinCC et STEP 7, elles ne sont pas bien compliquées à mettre en œuvre. Il n'est pas nécessaire d'être un As de la programmation et du hacking, tout bon développeur qui travaille dans le milieu industriel est potentiellement capable de les utiliser.

D'ailleurs, ce n'est à priori pas ces dll, somme toute légitimes, qui sont en cause, mais bien la faille des fichiers .Lnk (et non .ink comme vu plus haut) qui permet d'installer ces dll en mode administrateur et un simple logiciel banal qui les utilisent.

Et si Microsoft tarde tant à corriger la faille, c'est qu'elle ne doit pas être si simple à corriger. Encore faut-il comprendre tout le fonctionnement de celle-ci.

Mettre un pansement, "à la va-vite", sur une plaie infectée n'a jamais guérie la plaie.
3  0 
Avatar de zoonel
Membre régulier https://www.developpez.com
Le 20/07/2010 à 22:25
En lisant la news je pensais qu'un nouveau zero day était apparu, ce n'est qu'en lisant le bulletin microsoft que j'ai fait le rapprochement avec ce que j'ai lu ailleurs.

je pense que la news est mal écrite :
Symantec a récemment identifié une nouvelle menace (W32.Temphid) qui se propulse via une méthode inédite en exploitant des vulnérabilités jamais détectées auparavant sur des disques ou clés USB.
Pas clair tout ça.
En attendant la mise à jour de Windows, Microsoft propose une solution pour les utilisateurs de disques externes et de clés USB qui consiste à désactiver AutoPlay. Cette manipulation empêchera le lancement automatique de fichiers exécutables lorsque le disque ou la clé USB est branché.
on n'a pas dû lire la même chose :s

De ce que j'en ai compris, la faille se situe au niveau de l'OS et intervient lors de l'affichage des icônes des raccourcis (fichiers lnk). Pour être infecté il suffit de "voir" un raccourci "malicieux". Un des principaux vecteurs d'infection est la clef usb, avec autoplay le lnk est affiché d'emblée et on se fait infecter, sans autoplay pour se faire infecter il faut parcourir le support amovible via explorer jusqu'à l'affichage du raccourci.
D'après microsoft, désactiver l'autoplay permet juste de réduire les risque d'infection. Pour se prémunir de l'infection il faut désactiver l'affichage des icônes de raccourci (il faut modifier le registre, le bulletin de sécurité explique la démarche)
2  0 
Avatar de Marco46
Modérateur https://www.developpez.com
Le 20/07/2010 à 11:30
En revanche – bonne ou mauvaise nouvelle – le malware ne s’attaque que peu au grand public et viserait avant tout les systèmes SCADA (Supervisory Control and Data Acquisition), c'est-à-dire les réseaux qui pilotent des technologies industrielles dans des domaines tels que l’eau, l’électricité, le pétrole ou encore les substances chimiques, des systèmes qui ne sont pas connectés à l’Internet et qui utilisent leur propres réseaux pour des raisons de sécurité (et donc susceptibles d'utiliser des supports amovibles puisqu'ils ne sont pas connectés à l'extérieur).
Je trouve ça très inquiétant.

Je vois mal les mafias ou les scripts kiddies s'attaquer à ce genre de cibles.
1  0 
Avatar de méphistopheles
Membre éprouvé https://www.developpez.com
Le 21/07/2010 à 11:22
Citation Envoyé par hivenz Voir le message
Non.
Bon, ben dans ce cas, l'ext est totalement sécurisé et non affecté par cette faille
Citation Envoyé par sevyc64 Voir le message
Je ne suis pas certain que Linux est plus ou moins de faille que Windows (ou que Mac OS). Ce n'est pas parce qu'on ne découvre (cherche) pas de faille sous Linux, qu'il n'en possède pas.
oh, il en possedait plein et en possède probablement encore... mais beaucoup moins que windows, puisque toutes les failles évidentes du codes sources ont déjà été découvertes (puisqu'open-source) et surtout parce que les failles critiques (du genre sudo) son patchée en moins d'une semaine (voire un jour) et trés vite distribuée à toute machine ayant le net (je ne connais pas le temps de diffusion sur les repository, mais vu que c'est checké et mis à jour en permanence, je tablerais sur une demi-heure de connexion (bon,il y a des fois ou il y a bouchon sur les serveurs, mais c'est quand ils sortent de nouvelles distribs ça )

Citation Envoyé par sevyc64 Voir le message
La seule chose est que Windows represente plus des 3/4 du marché, qu'il représentante principalement d'une part la catégorie "Monsieur tout le monde" et d'autre part la catégorie "Professionelle" du marché. Ce qui en fait une cible privilégiée parce que facilement attaquable ("Monsieur tout le monde" et les informations récupérables représentes des valeurs marchandes non négligeables ("Professionelle" sur les marchés parallèles et louche.
Certes, linux n'est pas étendu sur le marché des particulier, mais l'est beaucoup plus sur le marché des serveurs, ce qui en fait aussi une cible importante des attaques.

Citation Envoyé par sevyc64 Voir le message
Linux touche encore un marché élitiste d'utilisateurs au fait des problèmes de sécurités et qui savent généralement se protéger.
C'est indéniable. Je crois avoir entendu que 90% des failles constatées sur win sont des failles utilisateur. Sur linux, 99.999 % seraient des failles utilisateurs dont un bon 60% pour les gens ayant pasté dans la console un sudo rm -Rf / parce qu'un mail leur aurait dit de le faire .
Citation Envoyé par sevyc64 Voir le message
Il représente donc pour le moment une cible bien moins intéressante pour le Mal.
Le mal c'est windows

Citation Envoyé par sevyc64 Voir le message
Windows est sur-représenté, donc forcément sur-analysé, sur-surveillé et aussi sur-attaqué.
Oui. par contre, ce que je ne trouve pas normal, c'est de devoir avoir recours à un antivirus pour contrer des failles que windows devrait avoir corrigé depuis des lustres. Les antivirus corrigent beaucoup de failles qui, si elles étaient traitées directement par windows, laisseraient juste les antivirus s'occuper des programme exécutés par l'utilistateur.. et ne les forcerait pas à scanner tout fichier entrant et sortant du système.
Citation Envoyé par sevyc64 Voir le message
Que Windows et Linux s'équilibrent à 50% du marché chacun et on aura autant de failles et attaques d'un côté comme de l'autre.
j'espère sincèrement que cela arrivera sous peu
1  0 
Avatar de stardeath
Membre expert https://www.developpez.com
Le 21/07/2010 à 13:43
Citation Envoyé par méphistopheles Voir le message
je n'ai pas dit ça. j'ai juste dis qu'on ne pouvait pas le vérifier. Mais bon, j'espere que microsoft fait quand même relire son code (ou du moins que plusieurs personnes le comprennent) avant de décider de le mettre sur tous ces os comme dans le cas présent donc on peut effectivement supposer qu'elle n'est pas triviale.
Je ne présente pas l'open source comme le graal d'ailleurs, des failles gigantesques du noyau ont déjà été découvertes, je présente des avantages avec une impartialité douteuse . Ensuite, j'adhère à la philosophie qui est derrière, et je pense vraiment que cela permet une meilleure sécurisation, mais comme le ditsevyc64, on ne pourra pas le pouver avant que linux aie atteint une part importante du marché (genre 5-10%) privé.
Moi je n'adhère ni à l'un ni à l'autre, je prends quand j'en ai besoin.

Citation Envoyé par méphistopheles Voir le message
il les corrige, sinon, il n'y aurait pas autant de patch correctifs, mais pas vite (la faille du noyau linux a été corrigée en moins d'un jour avant son annonce médiatique et avant que le noyau en question soit diffusé en masse). Parfois, des failles connues depuis longtemps ne sont corrigées que par les antivirus (j'ai entendu parlé d'une faille de plus de 3 ans, mais bon, je serais incapable de citer mes sources donc je n'affirme rien).
Le problème de vite est assez relatif, il y a quelques années (plus d'une dizaine si mes souvenirs sont bons) des patchs et autres étaient diffusés toutes les semaines, mais les professionnels se sont plaint (enfin des articles sont parus le disant) que toutes les semaines c'était infaisable pour avoir le système à jour, d'où le système de correction mensuel.

Microsoft peut très bien corriger des bugs tous les jours, mais vu que la correction ne sera publiée qu'à un rythme d'une fois par mois, on aura toujours l'impression que c'est plus lent que linux qui publie aussitôt la faille corrigée.
1  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 21/07/2010 à 17:06
Pour revenir sur la polémiques des failles Windows non corrigées après plusieurs années alors que sous Linux c'est corrigé dans les 48h, cette faille-ci, bien que vieille et s'appliquant à toutes les versions de Windows de W2000 à W8 pas encore sorti, elle n'aurait été découverte que très récemment, pas plus de quelques jours.

Selon quelques rumeurs, le processus mis en place s'attacherait à contourner la correction d'une faille déjà existante sur les .lnk, correction qui serait en place depuis déjà de nombreuses années tant dans Windows que dans tous les antivirus du marché, ouvrant ainsi une brèche très difficile à détecter.

Pour le moment, la date d'apparition de ce virus ne semble pas avoir encore été identifiée. Celui-ci contaminerait potentiellement une très grande quantité de machines mais ne serait actif (et détectable pour le moment) exclusivement que sur les machines ayant un des logiciel de la gamme Siemens Symatic WinCC ou de la gamme Siemens Symatic STEP 7 d'installé.

Seul Siemens semble ciblé, mais les autres éditeurs de logiciels de supervisions se tiennent au courant et suivent l'affaire de près.

Le malware sélectionne alors les données qu'il a pour mission de chercher, puis les encode et - point étrange - tente de se connecter à un serveur distant pour les transmettre. Étrange puisque l'attaque vise des machines qui – par définition – ne sont pas connectées.
Les machines de supervisions sont par définitions connectées au réseau entreprise. Si dans certaines installations plus sensibles elles peuvent disposées d'un réseau propre, souvent c'est le réseau classique de l'entreprise.
De plus, de plu en plus de ces machines sont connectées à internet pour pouvoir faire de l'administration à distance voire même directement de la supervision à distance sur des sites ne possédant pas de personnel en permanence notamment les jours de faibles activités comme les we, etc .....
1  0 
Avatar de Bruno PICART
Membre du Club https://www.developpez.com
Le 21/07/2010 à 18:44

Développer sur des sites sensibles des applis très particulières sous Windows me parait bizarre.
Certes !


Autre point crucial, l'attaque arrive à passer outre les certificats numériques de deux sociétés productrices de puces et de hardware
C'est sans aucun doute l'algorithme XOR qu'elles ont spécifié.


La thèse du vol des signatures numériques dans les locaux de ces deux sociétés Taïwanaises est avancées, d'autant plus qu'elles sont localisées dans le même complexe industrielle, mais il s'agit pour l'instant d'une hypothèse.
Ecrites sur des post-its collés en bas de l'écran d'un utilisateur sans pouvoirs, vraisemblablement.


Stuxnet utilise un identifiant et un mot de passe par défaut pour prendre le contrôle de la base de données SQL avec laquelle l'application fonctionne
C'est vrai :toujours prévoir un mot de passe par défaut sur une appli sensible ! On ne le répétera jamais assez.


Pour la petite histoire, ce mot de passe serait disponible sur Internet depuis plusieurs années.
A quoi cela pourrait-il bien servir, de changer un mot de passe par défaut ?


Microsoft a sorti un patch automatisé... qu'il est fortement recommandé de ne pas appliquer sous peine de voir Windows devenir quasiment inutilisable.
Modifier le BIOS afin d'empêcher l'utilisation du clavier, de la souris et de l'écran est une piste à creuser, également.


Le malware sélectionne alors les données qu'il a pour mission de chercher, puis les encode et - point étrange - tente de se connecter à un serveur distant pour les transmettre. Etrange puisque l'attaque vise des machines qui – par définition – ne sont pas connectées.
En continuant à prendre les crackers pour des idiots, les réveils pourraient être particulièrement difficiles pour certains.

A moins que toute cette affaire (pochade ?) se révèle comme un exemple d'initiation a contrario à la sécurisation d'une appli.
2  1 
Avatar de utan88
Membre régulier https://www.developpez.com
Le 27/07/2010 à 11:09
Citation Envoyé par Gordon Fowler  Voir le message
[B][SIZE="4"]

Chez Symantec, on affirme avoir « découvert que W32.Stuxnet a déjà infesté plus de 14 000 adresses IP en seulement 72 heures, dont la plupart en Iran, pour accéder à des informations sensibles et notamment aux systèmes SCADA, qui pilotent les technologies industrielles dans des domaines tels que l’eau, l’électricité, le pétrole ou encore les substances chimiques ».

cette phrase ne frappe que moi ??

Virus pour accéder à des données sensibles notamment dans le domaine des technologies industrielles, électricité, etc... 14 000 Ip en Iran

Enrichissement d'uranium...

On se demande bien qui pourrait s'intéresser à de telles données
1  0 
Avatar de grafikm_fr
Expert confirmé https://www.developpez.com
Le 27/07/2010 à 11:18
Citation Envoyé par utan88 Voir le message
On se demande bien qui pourrait s'intéresser à de telles données
Oui, si cette info est confirmée, c'est de la dynamite potentielle
1  0 
Avatar de Gordon Fowler
Expert éminent sénior https://www.developpez.com
Le 28/07/2010 à 10:13
Windows : au tour de G Data de proposer son outil contre Stuxnet
L'exploit zero-day est-il devenu un moyen de se faire de la publicité ?

Mise à jour du 28/07/10

On ne sait pas encore à quelle date la faille qui a permis l'exploit zero-day dont est actuellement victime Windows sera officiellement colmatée par Microsoft.

Les éditeurs en profitent.

Après Sophos, (lire ci-avant), c'est au tour de l'allemand G-Data de proposer son outil : « les premières approches pour colmater la vulnérabilité n'ont pas été vraiment couronnées de succès », écrit un porte parole de la société sans préciser s'il ne vise que Fix It (la solution de Microsoft), ou également celle de Sophos.

« Les spécialistes de G*Data ont à présent développé un fix, le “G Data LNK Checker” […] L'utilisateur est protégé contre les dangereux fichiers .Lnk (NDR : les raccourcis) ».

Ce patch est une solution temporaire destinée à être désinstallée au moment de la sortie du correctif de Windows. Elle transforme l'icône des fichiers suspects en panneau de sens interdit pour en bloquer l'exécution automatique et avertir l'utilisateur.

Cette solution, comme celle de Sophos, n'est pas soutenue par Microsoft. La politique de Redmond sur ces sujets est claire : Microsoft décline systématiquement toute responsabilité liée à l'application de solutions de sociétés tierces et recommande de n'utiliser que ses propres outils.

Si l'expérience vous tente tout de même, G Data LNK Checker est disponible sur cette page.

Si l'on avait l'esprit sarcastique, on pourrait par ailleurs se demander si cette attaque n'est pas devenue une aubaine pour les éditeurs qui semblent y avoir trouvé un moyen de communication publicitaire idéal.

Mais nous ne sommes pas sarcastiques.

Source : Communiqué de G-Data

Et vous ?

Pour le éditeurs de sécurité, cet exploit zero-day est-il devenu le moyen idéal de se faire de la publicité gratuitement ?
1  0