Des chercheurs ont découvert une nouvelle souche sophistiquée de logiciels malveillants qui se superposent aux périphériques de stockage USB et tirent parti de ce qui semble être une vulnérabilité de sécurité jusque-là inconnue. Microsoft Windows traite les fichiers de raccourcis.
Mise à jour, 16 juillet, 19 h 49 HE : Microsoft vient de publier un avis sur cette faille, disponible ici. Microsoft a déclaré que cela découlait d’une vulnérabilité dans le « shell Windows » (Windows Explorer, par exemple) qui est présente dans toutes les versions prises en charge de Windows. L’avis comprend des étapes qui peuvent atténuer la menace de cette faille.
Message d’origine :
VirusBlokAdaune société antivirus basée en Biélorussie, a déclaré que le 17 juin, ses spécialistes avaient découvert deux nouveaux échantillons de logiciels malveillants capables d’infecter un logiciel entièrement patché. Windows 7 système si un utilisateur visualisait le contenu d’une clé USB infectée avec un gestionnaire de fichiers commun tel que l’Explorateur Windows.
Les logiciels malveillants transmis par USB sont extrêmement courants, et la plupart des logiciels malveillants qui se propagent via USB et d’autres lecteurs amovibles ont traditionnellement profité de la fonctionnalité Windows Autorun ou Autoplay. Mais selon VirusBlokAda, cette souche de logiciels malveillants exploite une vulnérabilité dans la méthode utilisée par Windows pour gérer les fichiers de raccourcis.
Les fichiers de raccourci – ou ceux se terminant par l’extension « .lnk » – sont des fichiers Windows qui relient (d’où l’extension « lnk ») des icônes faciles à reconnaître à des programmes exécutables spécifiques, et sont généralement placés sur le bureau ou le menu Démarrer de l’utilisateur. Idéalement, un raccourci ne fait rien jusqu’à ce qu’un utilisateur clique sur son icône. Mais VirusBlokAda a découvert que ces fichiers de raccourcis malveillants sont capables de s’exécuter automatiquement s’ils sont écrits sur une clé USB accessible ultérieurement par l’Explorateur Windows.
« Il vous suffit donc d’ouvrir un périphérique de stockage USB infecté à l’aide de [Windows] Explorer ou tout autre gestionnaire de fichiers pouvant afficher des icônes (par exemple, Total Commander) pour infecter votre système d’exploitation et permettre l’exécution du logiciel malveillant », a écrit Sergueï Ulasenun expert antivirus de la société, en un avis publié ce mois-ci.
Ulasen a déclaré que le logiciel malveillant installe deux pilotes : « mrxnet.sys » et « mrxcls.sys.” Ces fichiers dits « rootkit » sont utilisés pour masquer le logiciel malveillant lui-même afin qu’il reste invisible sur le périphérique de stockage USB. Fait intéressant, Ulasen note que les deux fichiers de pilote sont signés avec la signature numérique de Realtek Semiconductor Corporation., une entreprise de haute technologie légitime.
Ulasen a déclaré qu’il avait contacté Microsoft et Realtek, mais n’avait obtenu de réponse ni de l’un ni de l’autre. Jerry Bryant, responsable du groupe des communications de réponse chez Microsoft, a déclaré mercredi à BreachTrace.com que « Microsoft enquête sur de nouvelles allégations publiques de logiciels malveillants se propageant via des périphériques de stockage USB. Lorsque nous aurons terminé nos enquêtes, nous prendrons les mesures appropriées pour protéger les utilisateurs et l’écosystème Internet.
S’il s’agit vraiment d’une nouvelle vulnérabilité dans Windows, elle pourrait bientôt devenir une méthode populaire de propagation de logiciels malveillants. Mais pour l’instant, cette menace semble assez ciblée : Chercheur indépendant en sécurité Franck Boldewin a déclaré avoir eu l’occasion de disséquer les échantillons de logiciels malveillants et a observé qu’ils semblaient rechercher Systèmes Siemens WinCC SCADAou des machines chargées de contrôler les opérations de grands systèmes distribués, tels que les usines de fabrication et les centrales électriques.
« On dirait que ce malware a été conçu pour l’espionnage », a déclaré Boldewin.