Windows : la faille d'octobre a son ver, Conficker

Vous êtes ici : Accueil > Actualités

Publié le : 02/12/2008 vers 9h par :
Gilles SALOMON

Il y a un mois environ nous avions parlé d’un bulletin de sécurité de Microsoft à propos d’une faille qui touchait toutes les versions de Windows.

Jugée critique pour Windows 2000, XP et 2003 Server, elle était considérée comme « seulement » importante sous Vista et Windows Server 2008.

Le bulletin, estampillé MS08-067, expliquait :

« Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le service Serveur. La vulnérabilité pourrait permettre l'exécution de code à distance si un système affecté recevait une requête RPC spécialement conçue. Sur les systèmes Windows 2000, Windows XP et Windows Server 2003, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sans nécessiter d'authentification. Il serait possible d'utiliser cette vulnérabilité dans la création d'un ver. »

Et justement, un ver a bien été créé, et l’éditeur en parle dans un bulletin informatif dans son centre de sécurité. Il a pour nom Win32/Conficker.A et son arrivée ne surprend personne. Son installation commence par la recherche du fichier « services.exe » pour s’y injecter. Il se copie ensuite dans le répertoire de Windows en prenant l’apparence d’un fichier DLL dont le nom comporte 5 à 8 caractères.

Il change ensuite les dates de création/modification du fichier pour coller à celles de « kernel32.dll » pour échapper à un des types de détection des logiciels de sécurité.

Pour la propagation de l’ennemi, Microsoft indique : « Win32/Conficker.A se copie lui-même en mémoire et commence à se propager vers des adresses IP aléatoires à travers un réseau en exploitant une faille du service Windows Server (SVCHOST.EXE). Si la faille est exploitée avec succès, le ver commande à l’ordinateur ciblé de télécharger une copie du ver depuis l’ordinateur hôte via le protocole HTTP et en utilisant un port aléatoire ouvert par le ver ».

Constat intéressant : le ver identifie la position géographique de l’ordinateur en utilisant trois adresses :- Getmyip.org- Getmyip.co.uk- Checkip.dydns.orgOr, Win32/Conficker.A évite d’infecter les machines basées en Ukraine.

À noter que le ver remet à zéro les points de restauration de la machine, empêchant l’utilisateur de faire un simple retour en arrière.Ceux qui n’ont pas mis à jour leur machine devraient y songer maintenant que le ver se propage.

Le moyen le plus simple est de passer par Windows Update.  (Source PCINpact)

Votre commentaire:

Votre pseudo :

Votre commentaire :

Saisir les caractères ci-contre dans le champ suivant :
 Rafraichir

PseudoCommentaire
Soyez le premier à réagir !
Nos partenaires : www.bestof-microsoft.com | www.exchangedump.com | www.exchangedump.com | www.formation-exchange.com | www.formation-management-dif.com | www.formation-mcpd.com | www.formation-pmp.com | www.formation-seven.com | www.formation-windows-7.com | www.formation-windows7.com | www.formation-windows-seven.com | www.certification-mcpd.com | www.certification-windows-7.com | www.consulting-exchange.com | www.e-managementinstitute.org | www.certification-mcitp.com | www.formation-mcsa.com | www.bestof-exchange.com | www.exchange-consulting.com | www.bestof-voip.com | www.formation-cisco.com www.formation-mcitp.com.com | www.laboratoire-exchange.com | www.messagerie-consultant.com | www.bestof-windows.com | www.bestof-sharepoint.com | www.messagerie-consultants.com | www.formation-mcts.com | www.consultant-messagerie.com