Vulnérabilité critique non corrigée Widows... [Résolu/Fermé]

Messages postés
7424
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
9 mai 2012
- - Dernière réponse :  Electricien 69 - 7 août 2010 à 15:46
Bonjour,

Exploitation malveillante d'une faille et ce, à grande échelle a été découverte, justement par des utilisateurs auc prise avec ladite exploitation.
Exploite une erreur dans le composant 'Windows Shell'.

Elle se caractérise par: Une exécution à distance du code malicieux sur l'ordinateur de la victime lors de l'affichage d'un raccourci (fichier .lnk) apparaissant sur le bureau et qui est bien-sûr, piégé.

Étant donné qu'aucun correctif n'est appliquable, car non existant encore, il est avisé de désactiver l'affichage des icônes dans les raccourcis.
NB: Cette manipulation empêche l'exploitation de la faille selon le procédé révélé publiquement, mais ''modifie également l'apparence des raccourcis légitimes''
Voici comment procéder:

1:Cliquez sur le bouton "démarrer" puis choisir "Exécuter.'' puis ...>> entrez "Regedit" et"OK" .

2: Parcourez l'arborescence de l'Editeur de registre de Windows ''colonne de gauche'' , vous rendant à la clé HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler, puis sélectionnez.

3: Maintenant dans la barre dee menus, cliquez sur "Fichier" puis "Exporter".
Nommez le fichier 'exemple' "Sauvegarde_LNK_Icon.reg".
Alors, cliquez le bouton "Enregistrer",pour ainsi faire une sauvegarde qui ensuite vous permettra restaurer ce paramètre ''quand le correctif disponible''.

4: Sélectionnez la valeur "par défaut" correspondant à la clef dans la colonne de droite, puis faire un clic droite, sur choisir "Modifier" .
Enfin, supprimez le contenu du champs "Données de la valeur" ''laissez en blanc''.

5. Redémarrez votre l'ordinateur afin que la modification soit prise en compte.

------------------------------------------------------------------------------------

Ou alors si vous êtes le seul et unique utilisateur de votre machine et que vous ne désirez pas faire ce qui précède...

Faites du ménage sur votre bureau ''en mettant dans la barre rapide'' les raccourcis que vous utilisez puis si un nouveau se pointe seul comme un con sur votre bureau,^-^ alors vous saurez qu'il sagit de la visibilité de cette faille explotée et non corrigée.
:)
Voilà.


Afficher la suite 

20/40 réponses

Meilleure réponse
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
771
3
Merci
Bonsoir :)

Microsoft a annoncé un correctif pour cette vulnérabilité. Il sera publié lundi vers 10h PDT (17h en France).

Dire « Merci » 3

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 70873 internautes nous ont dit merci ce mois-ci

2
Merci
Salut à tous

Pour la petite histoire autour de cette vulnérabilité :
http://translate.google.fr/...

L'exécution à distance du code malicieux dont parle jalobservateur consiste à exploiter le shell Windows qui peut être abusé à partir de code malveillant contenu dans un raccourci (*.lnk).
Le simple fait alors de visualiser le contenu d'une clé USB, d'un partage réseau (et/ou WebDAV) vérolé via l'explorateur (entre autre...), permet alors au *.lnk d'être exécuté automatiquement et sans intervention de l'utilisateur.
A ce stade on peut comparer un peu cette action à celle d'un autorun.inf ce qui permettra donc dans la foulée l'exécution du malware qui accompagne le lnk vérolé :
http://www.youtube.com/watch?v=1UxN7WJFTVg
http://www.f-secure.com/weblog/archives/new_rootkit_en.pdf

Quelques essais en cours et en parallèles des recommandations microsoft :
http://blog.didierstevens.com/2010/07/20/mitigating-lnk-exploitation-with-srp/
http://blog.didierstevens.com/2010/07/18/mitigating-lnk-exploitation-with-ariad/
http://blog.didierstevens.com/programs/ariad/

Misc :-) :
http://www.ivanlef0u.tuxfamily.org/?p=411

++
0
Merci
salut Jâl

ouin comment je fais ?

http://www.cijoint.fr/cjlink.php?file=cj201007/cijhqNbmV8.jpg
Messages postés
7424
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
9 mai 2012
907
0
Merci
MDR!!!!!!!!!!!!
Tu parles d'un bureau à la noix ^^
Bin moi je ferais : Crtl/Alt/suppr et je terminerais le processus ''Explorer'', ainsi tu les verras plus ^^, non mais là tu me scies ;-)
On dirais mon bureau il y a 4 ans, sauf que moi, les raccourcis fesaient tout le tour de l'écran et classés par catégories.
Là non ma suggestion première est la meilleure je pense pour toi :)
***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
0
Merci
bah non chuis plein de test....:S

ca m'arrange pas ton histoire :D
Messages postés
7424
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
9 mai 2012
907
0
Merci
Ok bin alors, tant qu'à tester, tu testeras un nouveau.ink gratos si tu en vois un :)
Ainsi, via l'exécution du code distant, tu auras un nouvel ami sur ta machine afin de discuter pour le reste de la nuit ^^
***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
0
Merci
lol m'en fous j'ai un bon parefeu ^^ mdr
Messages postés
7424
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
9 mai 2012
907
0
Merci
Moi m'en fou, j'ai un superbe Linux ^^
http://pix.louiz.org/upload/original/1279595039.png
0
Merci
c'est vrai qu'il est joli ^^
Messages postés
839
Date d'inscription
vendredi 12 juin 2009
Statut
Membre
Dernière intervention
11 mars 2011
78
0
Merci
Cool le bureau !
Messages postés
7424
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
9 mai 2012
907
0
Merci
Oui ce bureau j'ai bidouillé un peu plus longtemps, j'avoue^^
Un bon 2 heures certain.
C'est rare, car d'habitude, un 10 minutes et ça me suffit :)
Messages postés
7424
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
9 mai 2012
907
0
Merci
dernier petit up, bonne journée.
Messages postés
7424
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
9 mai 2012
907
0
Merci
Salut Moe:)
Oui super pour ces détails ^^
J'ai reçu avant-hier cette news, mais anglaise, alors j'ai posté hier, mais sans tous ces détails que tu mentionnes...
Mais effectivement, oui â va plus loin comme tu l'indique clairement, avec un complément d'infos reçu ce matin.
D'ou l'indication à ajouter de désactiver l'exécution automatique des périphériques amovibles...
Mais tu as mis les bonnes infos , Merci.
Bref â fini plus ces merdouilles:)

PS: La quantité d'infos est tellement volumineuse, que bien souvent, j'avoue que j'ai même plus envi de tout indiquer, ça demande trop de temps et il en reste même plus pour bosser.

***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Hello,

Comme d'habitude en retard, loupé le Métro (ou je deviens vraiment Portugais) enfin Bref remonté d'info Chez

SOS-VIRUS
LIBELLULES (dans les NEWS)

Merci encore à vous pour ces informations aux combien précieuses.

A+Lusche Philippe
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
437
0
Merci
hello,


un up pour la forme ... ;)


0
Merci
Salut à tous

Une petite news en forme de up :-)

En attendant un correctif M$, Libor Morkovsky vient de sortir un programme très intéressant capable de fixer la vulnérabilité.
Testé avec le PoC d'ivanlef0u, le tool semble parfaitement effectuer le job en bloquant l'exécution du raccourci et lui attribue une icône en forme de "panneau d'interdiction" signifiant "visuellement" à l'utilisateur qu'il y a eu blocage.
L'avantage aussi côté utilisateur par rapport à l'astuce avec HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler est que l'outil est capable de distinguer les raccourcis vérolés de ceux qui ne le sont pas et donc l'apparence des raccourcis "clean" gardent leur aspect d'origine.
Ce qui n'est pas le cas actuellement avec l'astuce M$ qui touche tous les raccourcis sans distinction...

De plus, vue l'évolution des choses, le *.lnk n'est pas la seule extention à être touchée, par exemple l'astuce de M$ ne règlera pas le soucis avec un *.pif...
HKEY_CLASSES_ROOT\piffile\shellex\IconHandler et HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler pointant par défaut vers la même CLSID...
L'outil de Libor Morkovsky est capable de gèrer les deux extentions depuis aujourd'hui et anticipe donc une exploitation via les *.pif

Le prog s'appelle : LinkIconShim
http://code.google.com/p/linkiconshim/

Extrait du readme :
A simple shell extension that inserts itself in front of the original buggy lnk file handler and checks the incoming files. If a link to control panel item is found (the exploitable one), default 'blocked' icon is returned instead of trying to extract one by running arbitrary dll.

A tester pour le fun !

Bonne journée à tous.

++
Hello,

Une astuce également ICI

merci Nardino

A+Lusche Philippe
Salut Philippe

Et merci pour ce lien.
C'est une bonne chose car le fixit de microsoft est plus complet maintenant que l'astuce qu'ils avaient donnés auparavant :-)

Bonne continuation, @++
Messages postés
7424
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
9 mai 2012
907
0
Merci
Salut, tous ^^
Étant donné les derniers développements, j'enlève le résolu, car il semble que l'info seulement a fait réfléchir plus d'un et que des mesures sont prises à cet égard sur plusieurs forums.
Donc on laisse courrir l'info, dans ce cas + est mieux que - :)
J'imagine de Microsoft va d'ici une dixaine de jours, publier son correctif mensuel .
Mais entre-temps...
Salut Jal,

Ouep et il faudra voir aussi si tous les OS pourront bénéficier du correctif à défaut du fixit...
Le bruit cours que des OS comme XP, XP Sp1 & Sp2 n'en bénéficieraient pas.
Si ça s'avèrait vrai, je suis tout à fait d'accord avec toi car,à ce moment-là, les liens vers des solutions de remplacement pourront être utiles.
Wait & see ! lol

++
Messages postés
7424
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
9 mai 2012
907
0
Merci
Hi m0e :)
Voici plus en détails mes infos source PDF
http://www.f-secure.com/weblog/archives/new_rootkit_en.pdf
Pas mal ^^
Donc assez étendu le truc et plutôt réfléchi, encore une fois...
***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La route de la maitrise Linux, peut être longue, mais la voie est libre ^^
Messages postés
7424
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
9 mai 2012
907
0
Merci
Encore du rootkits en arrière plan....
J'ai débuté un brainstorming avec un éditeur AV, puis les stratégies actuelles sont toutes à revoir.
Bref je passe les détails, mais l'affinement des techniques nouvelles devra aboutir sur une refonte quasi totale des outils de détection...
W7 est une cible prévilégiée de ces nouvelles menaces et l'emphase semble être mise plus sur les failles noyau innées et s'exploitant allègrement.
Étant donné que Microsoft ne refondra pas son architecture, alors le développement AV a de beaux jour devant lui ^^
Utilisateur anonyme -
Salut Jal , mOe , tous...

très constructif cet echange !!! :)
Salut Jal, Gen

A propos de travaux sur de nouvelles techniques, celle-ci n'est pas mal non plus :

http://www.cnis-mag.com/...
http://blog.mandiant.com/archives/1207

Bonne continuation.
Messages postés
7424
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
9 mai 2012
907
0
Merci
up ^^
Messages postés
7424
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
9 mai 2012
907
0
Merci
up!
Oy,

ACTUALITES

Avec tout cela, cela devrait faire l'affaire ;-)

A+Lusche Philippe