Microsoft confirme un nouveau bug zero-day dans Windows

Quelques heures seulement après la publication de l'exploit capable de tirer profit du bug avec Metasploit, Microsoft a confirmé l'existence d'une vulnérabilité non corrigée dans Windows. L'éditeur, qui travaille à l'élaboration d'un patch, n'a cependant pas l'intention de livrer en urgence une mise à jour pour corriger cette faille.

Evoquée une première fois le 15 décembre lors d'une conférence sur la sécurité qui s'est tenue en Corée du Sud, la faille a suscité davantage d'attention mardi, quand la boîte à outils Open Source Metasploit servant à faciliter les tests d'intrusion a livré un exploit conçu par le chercheur Joshua Drake. Selon Metasploit, en cas de succès, des attaques peuvent infecter les ordinateurs victimes, et introduire des logiciels malveillants en vue de piller les machines, soutirer des renseignements ou les enrôler dans un réseau de zombies criminels. La vulnérabilité a été identifiée dans le moteur de rendu graphique de Windows, et notamment dans la façon dont il gère les vignettes des dossiers. En particulier, celle-ci peut être activée quand l'utilisateur consulte avec le gestionnaire de fichiers de Windows un dossier contenant une vignette détournée, ou lorsqu'il ouvre ou visualise certains documents Office. Microsoft, qui a reconnu le bug dans un avis de sécurité, précise que seuls Windows XP, Vista, Server 2003 et Server 2008 sont concernés par cette vulnérabilité, mais pas les derniers systèmes d'exploitation Windows 7 et Server 2008 R2.

« Les attaquants pourraient transmettre aux utilisateurs des documents PowerPoint ou Word malveillants contenant une vignette infectée, qui, s'ils sont ouverts ou même simplement prévisualisés, donneraient un accès pour exploiter leur PC, » a déclaré Microsoft. Selon le scénario, les pirates peuvent détourner les PC s'ils réussissent à pousser les utilisateurs à afficher une vignette infectée sur un dossier ou un disque partagé en réseau, ou encore via un système de partage de fichiers en ligne WebDAV. « Cette vulnérabilité permet l'exécution de code à distance. Un attaquant qui parviendrait à l'exploiter pourrait prendre le contrôle total du système infecté, » indique le document de sécurité de Microsoft. « Pour exploiter la vulnérabilité, dans la table des couleurs du fichier image, le nombre des index de couleur est changé en un nombre négatif, » a expliqué Johannes Ullrich, directeur de recherche à l'Institut SANS.

Une solution attentiste de la part de Microsoft

En attendant la publication d'un correctif, l'éditeur recommande une solution de contournement temporaire pour protéger les PC contre des attaques éventuelles. Elle consiste à ajouter plus de restrictions au fichier « shimgvw.dll », le composant qui gère la prévisualisation des images dans Windows mais oblige les utilisateurs à saisir une chaîne de caractères lors d'une invite de commande. Cela signifie également que « les fichiers multimédia habituellement gérés par le moteur de rendu graphique ne seront pas affichés correctement, » comme l'indique la firme de Redmond.

« Alors que Microsoft déclare ne pas savoir si des attaques actives sont menées pour profiter de cette faille, voilà un bug de plus à ajouter à une liste croissante de vulnérabilités non corrigées, » a déclaré Andrew Storms, directeur de la sécurité chez nCircle Security. « Il y a déjà cet énorme bug « zero-day » d'Internet Explorer » plus ce bug dans WMI Active X au sujet duquel Secunia a publié un avertissement le 22 décembre. Et maintenant ce bug dans la gestion des images. Voilà une année qui commence bien pour Microsoft... » a t-il commenté. Il y a deux semaines, Microsoft confirmait en effet un bug critique dans IE. Et dimanche dernier, Michal Zalewski ingénieur chargé de la sécurité chez Google disait avoir la preuve que des pirates chinois s'attaquaient à une autre faille dans le même navigateur. «  Microsoft vient de clôturer l'année avec son plus grand correctif, et 2011 ne s'annonce pas meilleure,» a dit Andrew Storms. En 2010, l'éditeur a atteint le record de 106 bulletins de sécurité pour corriger un nombre record de 266 vulnérabilités. Le prochain Tuesday Patch régulier est prévu pour le 11 janvier. Si l'entreprise maintient son rythme normal de développement et de tests, il est fort peu probable qu'elle émette un correctif cette semaine.

 

Crédit Photo: Metasploit