Les firmes de sécurité Sophos et G Data lancent chacune un outil capable de bloquer toute attaque exploitant la vulnérabilité critique dans les fichiers raccourcis de Windows. « Sophos Windows Shortcut Exploit Protection Tool » et « G Data LNK Checker » protègent les utilisateurs jusqu'à ce que Microsoft se décide à sortir un patch permanent et officiel pour corriger le problème. Chet Wisniewski, conseiller en sécurité chez Sophos indique que « l'outil remplace le gestionnaire de raccourcis sous Windows, de sorte que si un élément fait appel à ce dernier, nous l'interceptons ». Le palliatif de G Data, pour sa part, contrôle la création de raccourcis et bloque l'exécution de codes lorsqu'ils sont affichés.

Comme à son habitude, lorsqu'un bug peut être corrigé par une application extérieure, « Microsoft ne soutient pas les outils de ce genre » précise Jerry Bryant, directeur de groupe pour le Microsoft Security Response Center (MSRC). « Nous recommandons à nos clients d'appliquer la solution temporaire explicitée dans le Security Advisory 2286198, qui protège des différentes attaques connues ». La vulnérabilité se trouve dans la façon dont Windows décode les raccourcis. Or, ceux-ci, avec le menu démarrer et la barre des tâche, sont des éléments clés du bureau de l'OS.

La faille qui rend les systèmes Scada vulnérables

Le bug avait été décrit il y a plus d'un mois par l'éditeur d'antivirus biélorusse VirusBlokAda. Après avoir attiré l'attention générale, cette faille avait été confirmée par Microsoft, qui avait admis que des pirates l'exploitaient déjà. Toutes les versions de Windows intègrent cette vulnérabilité. Le code malveillant a d'ailleurs été largement distribué à travers Internet, et de nombreuses attaques via cette faille ont été relevées depuis. Les premières utilisant ce problème de raccourcis ont d'abord ciblé les entreprises. Siemens a alerté, il y a deux semaines, les clients de son logiciel de gestion Simatic WinCC que des attaques de ce type ciblaient les ordinateurs utilisant le système Scada. Des hackers ont réussi à s'introduire dans au moins une entreprise allemande par ce biais s'appuyant sur le désormais bien connu vers Stuxnet. Symantec a quant à lui remarqué que 60% des systèmes infectés par ce virus se trouvaient en Iran, et a donc conjecturé que le pays était sa cible originelle.

Microsoft a conseillé de désactiver l'affichage des raccourcis, chose que beaucoup d'utilisateurs pourraient ne pas faire étant donné que cela rend Windows quasiment inutilisable. L'outil Sophos ne touche quant à lui pas aux icônes de ces derniers. « C'est une situation unique puisque nous pouvons nous dresser en travers des attaques. Nous ne disons pas aux utilisateurs de ne pas appliquer le patch Microsoft lorsque celui-ci sera prêt, mais pour l'heure, cet outil ne modifie ni Windows ni quelconque fichier. Ce n'est pas un correctif, juste un palliatif » ajoute Chet Wisniewski. En remplaçant le gestionnaire de raccourcis, il intercepte donc les fichiers concernés (.lnk), et crée une alerte lorsqu'il relève un élément suspicieux. « Il analyse chacun d 'entre eux pour vérifier s'il inclut ou non un code contenant l'appel vulnérable [LoadLibrary ()]. Ensuite, il regarde si l'objet appelé est un exécutable ou un .dll, et si tel est le cas, l'avertissement apparaît ». Le programme de G Data affiche, dans des circonstances analogues, un signal d'alerte rouge.

Un patch qui se fait désirer


La firme de Redmond n'a toujours pas donné de date quant à la livraison du patch. Pour autant, les prochaines mises à jour de sécurité prévues pour Windows sont attendues pour le 10 août. « Microsoft doit corriger le coeur du problème, c'est-à-dire patcher directement « Shell32.dll » » avertit Chet Wisniewski. Shell32.dll est une bibliothèque qui contient de nombreuses fonctions API du Shell (interface de programmation d'application). Il spécule que c'est aussi la raison pour laquelle la firme met tant de temps à le patcher : « s'ils se loupent et altèrent la bibliothèque, toutes les machines risquent de ne plus fonctionner correctement. La plus grosse difficulté, c'est de tester exhaustivement le correctif ». Graham Cluley, consultant en technologie chez Sophos informe dans son blog qu'il suffira de désinstaller l'outil lorsque le patch final aura été délivré. Le programme de la firme de sécurité fonctionne sous XP, Vista, Seven, mais pas sur Windows 2000. Son téléchargement est gratuit.