Articles Communiqués


Une vulnérabilité « jour zéro » permet à un malware de s’exécuter  automatiquement depuis une clé USB


Le rootkit Stuxnet se diffuse même si les fonctions Autoplay et Autorun de

Windows sont désactivées.

Paris, le 16 juillet 2010 – Les experts de Sophos alertent les utilisateurs

de la découverte d’un rootkit capable de s’auto-installer automatiquement à

partir d’une clé USB sur un PC à jour de tous les correctifs de sécurité,

même si son propriétaire a désactivé les fonctions Autorun et Autoplay de

Windows.

Le rootkit W32/Stuxnet-B exploite une vulnérabilité présente dans la manière

dont Windows traite les fichiers de raccourci en .LNK, qui lui permet de

s’exécuter automatiquement lorsque Windows Explorer accède à la clé USB. Une

fois qu’il est en place, le rootkit entre en ‘mode discret’, masquant sa

présence sur le PC infecté.

« Des menaces telles que le tristement célèbre ver Conficker se sont déjà

diffusées avec succès via des clés USB dans le passé, mais pouvaient en

partie être bloquées en désactivant Autoplay. Le risque est que d’autres

malwares profitent à leur tour de la brèche ‘jour-zéro’ exploitée par le

rootkit Stuxnet, ce qui porterait le problème à un tout autre niveau »,

commente Michel Lanaspèze, Directeur Marketing et Communication de Sophos

Europe du Sud. « Le programme est toujours en cours d’analyse par la

communauté de la sécurité, mais certains indices troublants suggèrent déjà

qu’il pourrait essayer d’accéder à des données spécifiques aux systèmes

SCADA de Siemens, un logiciel qui contrôle des infrastructures nationales

critiques. »

Curieusement, les fichiers suspects portent la signature de Realtek

Semiconductor Corp., un fournisseur majeur d’équipements informatiques.

« Il est important de ne pas sur-réagir à cette menace, car le programme

vient seulement d’être découvert, et la communauté de la sécurité n’a pas

encore complètement établi l’ampleur du risque pesant sur les systèmes

SCADA. Mais le fait même que ceux-ci soient concernés signifie que cette

attaque doit être examinée de près. Les yeux vont également se tourner vers

Microsoft pour guetter la manière dont la compagnie va réagir à ce qui

apparaît comme une nouvelle vulnérabilité non corrigée dans son code et

exploitée par les pirates. »

Sophos détecte le fichier malveillant impliqué dans l’attaque sous le nom de

W32/Stuxnet-B.

Des informations complémentaires, ainsi qu’une description complète de la

manière dont l’attaque fonctionne sont disponibles sur le blog de Chet

Wisniewski, à l’adresse

http://www.sophos.com/blogs/chetw/g/2010/07/15/windows-day-vulnerability-sho

rtcut-files-usb/

A propos de Sophos.

Plus de 100 millions d’utilisateurs dans 150 pays ont retenu Sophos comme la

meilleure défense du marché contre les menaces complexes et les risques de

pertes de données. Ses solutions intégrées de sécurisation et de protection

des informations sont simples à déployer, à administrer et à utiliser, et

offrent le coût global de possession le plus avantageux du marché. Elles

permettent le chiffrement des données, la protection des systèmes

d’extrémité, la sécurisation du Web et de la messagerie et le contrôle

d’accès réseau avec le support permanent des SophosLabs, le réseau mondial

de centres d’analyse des menaces de Sophos. Avec plus de deux décennies

d’expérience, Sophos est reconnu comme un leader de la sécurisation et de la

protection des données par les principaux analystes du marché, et ses

produits ont reçu de nombreuses récompenses.

http://www.sophos.fr






Gros Boutons Partenaires

Partenaires Mag-Securs