Intrapole
l Espace client l FAQ l RSS 2.O l
- Bienvenue sur le site de Intrapole, leader de la sécurité informatique en Afrique sub-sahérienne
VOUS  TES ICI : Accueil » Alertes Sécurité »

Microsoft alerte sur les risques d’attaque contre des applications Windows

Sécurité - Suite à la publication de travaux sur un nouveau vecteur d’attaque contre des applications pour Windows et les mises en garde d’experts en sécurité, Microsoft confirme l’existence d’un risque et propose des mesures de contournement.

Le dernier bulletin d’alerte de Microsoft est un peu particulier dans le sens où il n’est pas relatif à des vulnérabilités dans ses propres logiciels. Il s’agit en effet d’un guide pour les entreprises et développeurs d’applications tierces pour Windows susceptibles d’être vulnérables à des attaques de type « DLL preloading » ou « binary planting » (implantation de binaire).

Le bulletin de Microsoft fait suite à la publication de travaux de recherche portant sur un nouveau vecteur pour des attaques distantes en DLL preloading. Si le mécanisme d’attaque n’est en lui-même pas nouveau ou spécifique à Windows, il permet néanmoins d’attaquer, de manière distante, plus de systèmes.

40 applications vulnérables selon HD Moore, 200 d’après Acros

L’attaque consiste à leurrer une application et à lui faire charger une librairie malveillante à la place d’une autre librairie, de confiance elle. Jusqu’à présent, l’attaquant devait implanter le fichier en local. Mais d’après des travaux récents, une librairie malveillante peut être déposée sur un réseau partagé.

Or selon les chercheurs, de nombreuses applications Windows seraient vulnérables à cette technique d’attaque. Microsoft analyse actuellement ses propres logiciels et publiera un nouveau bulletin d’alerte si certains devaient s’avérer eux aussi vulnérables.

D’après la démonstration de la société de sécurité Acros Security, on sait déjà qu’iTunes figure parmi les logiciels concernés par ce nouveau vecteur d’exploitation. Apple n’est cependant pas le seul éditeur affecté.

Microsoft propose un outil bloquant l’appel de DLL distantes

Sans révéler le nom des outils vulnérables (au nombre de 40), l’expert HD Moore a mis au point un utilitaire permettant aux développeurs d’identifier la vulnérabilité dans leurs logiciels. Les éditeurs vont quoi qu’il en soit devoir corriger leurs applications pour prévenir ces attaques en DLL preloading.

Des mesures de contournement permettent de réduire les risques. Dans son bulletin de sécurité, Microsoft recommande ainsi de désactiver l’appel de librairies depuis WebDAV ou des réseaux partagés. Tout aussi radical (et donc potentiellement contraignant), l’éditeur préconise la désactivation du service WebClient et le blocage des ports TCP 139 et 445.

Pour limiter les attaques, la firme de Redmond propose également un outil bloquant le chargement de DLL depuis des répertoires distants, notamment sur une clé USB ou un site Web.

par Christophe Auffray, ZDNet France. Publié le 24 août 2010

Source : ZDNet

Alertes Sécurité

l Accueil l Intrapole l Alerte sécurité l Expertise l RÈfÈrences l Partenaires l Téléchargements l FAQ l Contacts l