Microsoft travaille sur un patch pour combler une vulnérabilité présente dans le moteur d'analyse de la police TrueType Win32k, un composant que l'on retrouve dans plusieurs systèmes d'exploitation Windows, et qu'un attaquant pourrait exploiter pour charger du code malveillant sur un ordinateur en mode kernel. Les chercheurs, qui surveillent de très près le malware, ont constaté qu'il pouvait être diffusé sous forme de document Microsoft Word envoyé en pièce jointe par e-mail. L'ouverture du document déclencherait l'attaque.

Les chercheurs du Laboratoire de Cryptographie et de la Sécurité du système (CrySys), situé en Hongrie, ont localisé un fichier d'installation pour Duqu et ont découvert qu'il utilisait cette faille jusqu'alors inconnue de Windows. La parade proposée par Microsoft se résume en quelques lignes de code qui fonctionnent comme une ligne commande d'administration. Microsoft a averti que l'installation de ces solutions de contournement pourrait altérer l'affichage dans certaines applications s'appuyant sur cette technologie de polices intégrées. Les solutions de contournement s'appliquent aux systèmes Windows XP, Windows Vista et Windows 7 ainsi qu'à différents produits Windows Server. Microsoft a également publié une solution rapide qui peut être téléchargée et appliquée automatiquement.

Un patch tuesday sans correctif pour Duqu ?

Microsoft doit normalement livrer ses correctifs mensuels ce mardi, mais il est probable que l'éditeur ne pourra pas corriger la vulnérabilité exploitée par Duqu d'ici là. L'éditeur publie occasionnellement des correctifs en dehors de son cycle de mise à jour pour des vulnérabilités importantes, mais n'a pas l'habitude de prévenir de leur date de sortie. «  Le développement d'un patch approprié pourrait prendre plusieurs semaines, » selon Costin G. Raiu, directeur de l'équipe de recherche et d'analyse de Kaspersky Lab. « Pour résoudre cette vulnérabilité, il faudra modifier le code du noyau, ce qui est très délicat et risqué, » a ajouté le responsable de Kaspersky Lab. « Les tests pour vérifier le bon fonctionnement des modifications apportées et la réalisation des patchs vont prendre beaucoup de temps, » a-t-il estimé. « La mise au point d'un patch « out-of-cycle » pourrait prendre au moins deux semaines, » a-t-il avancé. « Le patch sera sans doute prêt pour le mois prochain. Sauf si le bug est traité en ingénierie inverse et que d'autres malwares commence à l'utiliser, » a-t-il déclaré.

Duqu a été comparé à Stuxnet, même si certains rapports divergent pour dire si les deux bouts de logiciels malveillants sont liés. Stuxnet a fait preuve d'un certain niveau de sophistication de la part de ses créateurs qui ont réussi à l'introduire dans Windows en exploitant quatre vulnérabilités de type « zero day ». Celles-ci ont été exploitées activement avant que Microsoft ne s'en rende compte et qu'il ne soit en mesure de développer un patch. Duqu est également considéré comme un malware évolué : en effet, l'exploitation d'une faille au niveau du noyau lui permettrait de mieux échapper aux antivirus. Les experts en sécurité soupçonnent que Duqu a été mis au point pour mener des attaques ciblées contre certaines organisations. « Nous sommes conscients qu'il y a actuellement des attaques ciblées qui tentent d'utiliser cette vulnérabilité. Mais dans l'ensemble, nous constatons que l'impact auprès des clients est faible, » a déclaré Microsoft dans un communiqué jeudi soir.

Les infections progressent dans le monde

Néanmoins, il semble que Microsoft minimise le risque, car selon Symantec, des infections ont été détectées dans le monde entier, notamment en France, aux Pays-Bas, en Suisse, en Ukraine, en Inde, en Iran, au Soudan et au Vietnam. D'autres incidents ont eu lieu en Autriche, en Hongrie, en Indonésie et au Royaume-Uni. Chester Wisniewski, conseiller en sécurité senior auprès du vendeur de solutions de sécurité canadien Sophos, a écrit dans un blog que le « bug est assez sérieux. » Et selon lui, «  Microsoft ne va pas attendre trop longtemps pour mettre au point le patch permettant d'y remédier. »

Installer le correctif de Microsoft : http://support.microsoft.com/kb/2639658