La vulnérabilité du .link de Windows devrait être de plus en plus exploitée
Un ver prenant pour cible Windows qui a récemment été découvert inspire les auteurs de virus et se répand de plus en plus. C'est l'analyse faite par Eset, un fournisseur de solutions de sécurité informatique.
Le 22 juillet, l'éditeur de logiciels de sécurité Eset a expliqué que deux nouvelles familles de logiciels malveillants ont surgi sur la toile. Elles exploitent la vulnérabilité de Windows quant à la gestion de ses fichiers .link, utilisés pour créer des raccourcis vers d'autres fichiers sur le système.
La vulnérabilité était d'abord exploitée par le ver Stuxnet, découvert le mois dernier par VirusBlokAda sur des systèmes informatiques en Iran . Très sophistiqué, Stuxnet cible des systèmes faisant tourner des logiciels de gestion du système de contrôle industriel de chez Siemens. Le ver a ainsi volé sur les systèmes informatiques de Siemens des fichiers de type SCADA (Contrôle de la surveillance et acquisition de données).
En réponse à cette attaque, l'équipementier a mis en ligne jeudi une mise à jour de sécurité pour ses clients qui a été développée par TrendMicro. Mais il reste encore à Microsoft à "patcher" son bug qui pour l'heure permet au ver de se répandre. Prudent, Siemens précise que « étant donné que chaque usine est configurée de manière individuelle, nous ne pouvons pas écarter la possibilité qu'ôter ce virus affecte d'une manière ou d'une autre votre usine ».
Le nouveau logiciel malveillant découvert est « beaucoup moins sophistiqué » que Stuxnet et « suggère que des personnes utilisent des techniques développées par d'autres, à l'instar des bottom feeders [NDLR : des poissons qui restent au fond du bassin pour manger les crottes des autres poissons qui nagent au dessus d'eux] » explique dans un blog Pierre-Marc Bureau, chercheur chez Eset.
L'une des nouvelles variantes installe un enregistreur de saisies au clavier (un "keylogger") , un outil que les hackers utilisent pour voler des mots de passe et d'autres données sur le PC de leur victime. « Le serveur utilisé pour délivrer les composants utilisés dans cette attaque est actuellement localisé aux Etats-Unis, mais l'adresse IP est assignée à un client en Chine » précise Pierre-Marc Bureau.
Etant donné que de nouvelles versions ne cessent de surgir, cela met davantage de pression sur Microsoft, chargé de "patcher" cette vulnérabilité. L'éditeur prévoit de proposer ces correctifs le 10 août prochain. Mais si trop d'internautes sont infectés, Microsoft pourrait être obligé de sortir un correctif en urgence.
Microsoft a déjà proposé une solution pour contourner le problème et déclare que cela fonctionne avec un patch. Pour l'heure, le ver Stuxnet est peu répandu, et constitue moins d'un centième d'un pour cent des logiciels malveillants qu'Eset a pu observer sur internet, annonce Randy Abrams, directeur de l'éducation technique chez Eset.
Toutefois, ceci va changer. "Il est probable qu'il devienne l'un des vecteurs d'attaque les plus répandus » ajoute-t-il. « Je m'attends à ce que dans quelques mois, nous voyons des centaines, si ce n'est des milliers, de logiciels malveillants utilisant la vulnérabilité du .link ».
Illustration (D.R.)
