[ad_1]

Le ver informatique « Stuxnet » a fait la une des journaux internationaux en juillet, lorsque des experts en sécurité ont découvert qu’il était conçu pour exploiter une faille de sécurité jusque-là inconnue dans Microsoft Windows ordinateurs pour voler des secrets industriels et potentiellement perturber les opérations des réseaux d’information critiques. Mais de nouvelles informations sur le ver montrent qu’il exploite au moins trois autres failles de sécurité jusque-là inconnues dans les PC Windows, y compris une vulnérabilité corrigée par Redmond dans un correctif logiciel publié aujourd’hui.

Image reproduite avec l’aimable autorisation de Kaspersky Lab

Comme signalé pour la première fois le 15 juillet par BreachTrace.com, Stuxnet utilise une vulnérabilité dans la façon dont Windows gère les fichiers de raccourcis pour se propager à de nouveaux systèmes. Les experts disent que le ver a été conçu de bas en haut pour attaquer les systèmes dits de contrôle de surveillance et d’acquisition de données (SCADA), ou ceux utilisés pour gérer des réseaux industriels complexes, tels que les systèmes des centrales électriques et des installations de fabrication de produits chimiques.

On pensait à l’origine que le ver se propageait principalement par l’utilisation de lecteurs amovibles, tels que des clés USB. Mais environ deux semaines après que la nouvelle de Stuxnet est apparue pour la première fois, des chercheurs de Moscou KasperskyLab découvert que le ver Stuxnet pourrait également se propager en utilisant une faille de sécurité inconnue dans la façon dont Windows partage les ressources de l’imprimante. Microsoft a corrigé cette vulnérabilité aujourd’hui, avec la sortie de MS10-061qui est classé critique pour Windows XP systèmes et a attribué une cote de menace « importante » moins importante pour Windows Vista et Windows 7 des ordinateurs.

Dans un article de blog aujourd’hui, Jerry Bryant, responsable du groupe Microsoft mentionné Stuxnet a ciblé deux autres vulnérabilités de sécurité jusque-là inconnues dans Windows, dont une autre signalée par Kaspersky. Microsoft n’a pas encore corrigé l’une ou l’autre de ces deux vulnérabilités – connues sous le nom de failles « d’escalade de privilèges » car elles permettent aux attaquants d’élever leurs droits d’utilisateur sur les ordinateurs où les comptes d’utilisateurs réguliers sont empêchés d’apporter des modifications importantes au système.

Les chercheurs en antivirus ont également découvert que Stuxnet exploite une vulnérabilité Windows que Microsoft a corrigée en 2008. Roel Schouwenbergchercheur senior en antivirus chez Kaspersky, a déclaré qu’au départ, il n’était pas clair pourquoi les concepteurs du ver avaient inclus une vulnérabilité aussi ancienne, qui déclencherait presque certainement la sonnette d’alarme à l’intérieur de toute organisation utilisant des outils communs de détection et de prévention des intrusions.

Mais Schouwenberg a déclaré que l’inclusion de cette vulnérabilité de 2008 avait plus de sens lorsqu’il a appris que la plupart des réseaux de systèmes de contrôle industriels n’utilisent pas ces outils défensifs ni même la journalisation réseau de base, comme c’est courant dans la plupart des réseaux d’entreprise. Par conséquent, a-t-il dit, Stuxnet se comporte différemment selon le type de réseau sur lequel il pense fonctionner. Stuxnet effectue des vérifications rudimentaires pour voir s’il se trouve sur un réseau d’entreprise ou sur un réseau de systèmes de contrôle : s’il détecte qu’il s’exécute sur un réseau d’entreprise, il n’invoquera pas l’ancienne vulnérabilité de 2008, a déclaré Schouwenberg.

L’analyste de Kaspersky a déclaré que celui qui est responsable de l’écriture du ver Stuxnet semble être assez familier avec la façon dont les systèmes SCADA sont configurés. Stuxnet, qui ciblait des systèmes SCADA spécifiques fabriqués par Siemensa également déguisé deux fichiers critiques en les signant avec les signatures numériques légitimes appartenant à des géants industriels Realtek Semiconductor Corp. et JMicron.

« Si vous regardez la façon dont ils ont dû organiser toute l’attaque, c’est très impressionnant », a déclaré Schouwenberg. « Ces gars-là sont absolument haut de gamme en termes de sophistication. »

Les nouvelles sur le succès de cette famille de logiciels malveillants furtifs dans la compromission des systèmes SCADA continuent de circuler. Plus tôt dans la journée, IDG News Robert McMillan a cité Siemens comme disant le ver avait infecté des systèmes SCADA dans au moins 14 usines en activité, bien que Siemens ait déclaré que les infections n’avaient pas entravé la production de ces usines ni causé de dysfonctionnement. Stuxnet a infecté des systèmes au Royaume-Uni, en Amérique du Nord et en Corée, cependant le plus grand nombre d’infections, de loin, s’est produit en Iranrapporte IDG.

Mais Joe Weissassocié directeur à Cupertino, en Californie. Systèmes de contrôle appliqués, a déclaré que beaucoup trop de gens étaient obsédés par l’impact de Stuxnet sur les systèmes Microsoft Windows et ne savaient pas que ses auteurs se servaient du ver pour arriver à leurs fins. Par exemple, les chercheurs de Symantec a trouvé que Stuxnet utilise des mots de passe par défaut intégrés aux systèmes Siemens pour accéder et reprogrammer les « contrôleurs logiques programmables » des systèmes SCADA – des mini-ordinateurs qui peuvent être programmés à partir d’un système Windows. Selon Symantec :

Stuxnet a la capacité de tirer parti du logiciel de programmation pour également télécharger son propre code vers l’automate dans un système de contrôle industriel qui est généralement surveillé par des systèmes SCADA. De plus, Stuxnet cache alors ces blocs de code, ainsi lorsqu’un programmeur utilisant une machine infectée essaie de visualiser tous les blocs de code sur un automate, il ne verra pas le code injecté par Stuxnet. Ainsi, Stuxnet n’est pas seulement un rootkit qui se cache sous Windows, mais c’est le premier rootkit publiquement connu capable de cacher le code injecté situé sur un automate.

« Le département de la Sécurité intérieure a publié un avis sur Stuxnet le 2 septembre, et les deux seules choses sur lesquelles il n’a rien dit, c’est comment le trouver ou s’en débarrasser au niveau PLC », a déclaré Weiss. « Les gens se concentrent sur ce qu’ils savent et comprennent, à savoir les vulnérabilités standard de Microsoft. Mais ce n’est pas la partie effrayante. Ce qui est vraiment effrayant, c’est qu’en ce moment, nous ne savons même pas quels contrôleurs sont fiables et lesquels ne sont pas fiables.

Alors que la cible visée de Stuxnet semble être la manipulation des automates Siemens, Weiss a déclaré que Stuxnet aurait tout aussi bien pu être conçu pour attaquer les automates fabriqués par d’autres fabricants de SCADA. Ces sujets et d’autres seront au centre des discussions lors de la Conférence sur la cybersécurité du système de contrôle ACS la semaine prochaine à Rockville, Md. – bien que l’événement soit fermé aux médias.

« Le mécanisme [the Stuxnet worm] utilisé pour installer la charge utile Siemens est arrivé à la toute fin, ce qui signifie que ce n’est pas un problème Siemens et qu’ils auraient pu remplacer [General Electric], Rockwell ou tout autre automate comme système cible », a déclaré Weiss. « Au moins un aspect de ce que fait Stuxnet est de prendre le contrôle du processus et de pouvoir faire… tout ce que l’auteur ou le programmeur veut qu’il fasse. Il peut s’agir d’ouvrir ou de fermer une vanne d’usine, d’allumer ou d’éteindre une pompe, d’accélérer ou de ralentir un moteur. Cela a des conséquences potentiellement dévastatrices, et il faut y accorder beaucoup plus d’attention.

Mise à jour, 22 septembre, 9 h 45 HE : Secunia a publié un peu plus d’informations sur ces failles d’élévation de privilèges non corrigées dans Windows, ici et ici.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *