Publication
d'exploits relatifs à la vulnérabilité
critique
JPEG sous Microsoft
Windows
(23/09/04)
Plusieurs
exploits (méthode ou code permettant l'exploitation
d'une faille y compris par un non spécialiste) relatifs
à la vulnérabilité
GDI+ JPEG (MS 04-028) ont été rendus public,
ce qui rend désormais très probable son utilisation
dans un but malveillant et notamment l'apparition d'un virus
exploitant cette faille. Les utilisateurs et administrateurs
qui ne l'auraient pas déjà fait sont invités
à mettre à
jour leur système de manière urgente.
Cette
vulnérabilité est un problème de sécurité
qui permet à une personne malveillante ou à un virus
d'exécuter le code de son choix lors
de l'affichage d'une image .JPG piégée spécialement
malformée, contenue par exemple dans une page web ou
dans un courriel. Un virus utilisant cette faille pourrait
donc se propager rapidement et à grande échelle,
d'autant que les fichiers .JPG sont habituellement associés
aux images et considérés comme sûrs :
un tel virus qui se répandrait par courriel serait
susceptible de tromper les internautes les plus méfiants
voire de s'exécuter sans intervention de l'utilisateur,
lors de la lecture du message dans le volet de visualisation.
L'application
immédiate du ou des correctifs de sécurité
destinée à corriger le code défectueux
constitue le seul moyen de se protéger efficacement.
D'autres précautions permettent également d'améliorer
la sécurité :
- mettre à jour son antivirus fréquemment
(opter pour une mise à jour automatique si disponible)
et vérifier qu'il est configuré pour analyser
tous les fichiers et pas seulement les fichiers exécutables
(option souvent sélectionnée par défaut
afin de raccourcir la durée d'analyse). Les principaux
éditeurs d'antivirus ont en effet intégré
dans leurs logiciels une ou plusieurs signatures permettant
la détection des images piégées (Exploit.Win32.MS04-028.gen,
Exploit-MS04-028, Bloodhound.Exploit.13), ce qui peut permettre
d'éviter l'infection même si les correctifs
de sécurité n'ont pas encore été
appliqués ;
- ne pas ouvrir de fichier joint à un courriel
suspect, par exemple un message inhabituel rédigé
en anglais, même si l'expéditeur est connu
et/ou même si l'extension semble inoffensive (.jpg,
.bmp, .zip, etc.) ;
- désactiver la visualisation des messages au
format HTML dans votre logiciel de messagerie si l'option
est disponible ;
- vérifier la sécurité du système
en renouvelant
la procédure d'application des correctifs après
toute installation ou réinstallation
d'un nouveau programme, notamment s'il manipule ou est successible
de manipuler des images compressées au format JPEG
et donc de rendre le système à nouveau vulnérable.
Il
ne faut pas attendre qu'un
virus exploitant cette
faille commence à se propager
car il
pourrait causer des dommages irréparables avant
d'être détecté et les serveurs de distribution
des correctifs risquent de se retrouver saturés. Pour
savoir si vous êtes concerné par cette vulnérabilité
et savoir comment mettre à jour votre système,
consultez l'alerte Secuser.com
du 14/04/09.
Les utilisateurs de Windows XP qui le souhaitent peuvent installer
les correctifs nécessaires sans forcément installer
le
Service Pack 2 (SP2).
28/09/04 : |
exploitation malveillante via AIM (AOL Instant Messenger),
l'image piégée étant attachée
au profil de l'attaquant que l'utilisateur est incité
à consulter ("Check out my profile, click GET INFO!"). |
27/09/04 : |
perfectionnement de l'exploit du 25/09 par un certain
M4Z3R. |
26/09/04 : |
première exploitation malveillante et à
grande échelle de la faille GDI+ via la publication
d'images piégées dans plusieurs groupes
de discussion Usenet américains pour adultes (Backdoor.Roxe).
L'exploit est détecté par les principaux
antivirus et provoque seulement le plantage d'Internet
Explorer. Plusieurs messages postés dans des listes
de diffusion spécialisées sont intitulés
"JPEG Virus" ou "GDI Virus in the wild"
mais c'est une erreur grossière qui devrait toutefois
alimenter la rumeur. Un virus est un programme capable
de s'autoreproduire, ce n'est pas le cas ici. |
25/09/04 : |
perfectionnement de l'exploit du 23/09 par un certain
HighT1mes. |
24/09/04 : |
interception des premières images piégées
selon ScanSafe. |
23/09/04 : |
publication d'un outil
de piratage (Hacktool.JPEGDownload, HTool/Exp-MS04-028
ou HKTL_JPGDOWN.A) par un certain [ATmaCA]. Il est destiné
à créer une image piégée capable
de provoquer le téléchargement et l'exécution
d'un fichier distant dont l'URL est paramétrable
par l'utilisateur attaquant. |
23/09/04 : |
publication d'un premier exploit permettant l'exécution
de code arbitraire sur un ordinateur vulnérable,
codé par un certain FoToZ. Une action d'autant
plus
irresponsable qu'elle devrait rapidement déclencher
la publication de nouveaux exploits, de codes malveillants
voire d'un virus alors qu'il est certain que neuf jours
seulement après la mise à disposition des
correctifs seule une minorité d'utilisateurs ont
pour l'instant "patchés" leurs machines. |
INFORMATIONS
COMPLEMENTAIRES :
-> Alerte Secuser.com du 14/09/04
(en français)
|