Une quarantaine d'applications Windows contiennent une faille critique qui peut être utilisée par des pirates pour prendre le contrôle de PC et y introduire du code malveillant, a averti HD Moore, responsable sécurité de l'éditeur Rapid7, via Twitter cette semaine. Il y a quatre mois, un bug a été rectifié par Apple dans son logiciel iTunes pour Windows. Mais on le trouve toujours dans de nombreux autres programmes, y compris le shell de Windows, affirme l'expert en sécurité, sans toutefois préciser le nom des applications vulnérables, ni leur éditeur. Chaque logiciel devra être corrigé séparément. HD Moore est par ailleurs le créateur du projet Open Source Metasploit destiné notamment à évaluer les risques d'intrusion.

Des informations accessibles aux entreprises

Dans son « tweet », il pointe vers un bulletin publié sur le site d'Acros (un éditeur slovène) qui détaille une vulnérabilité d'iTunes pour Windows. Celle-ci peut être exploitée par des hackers pour inciter des utilisateurs à télécharger et ouvrir un fichier infecté, ou à se rendre sur un site malveillant. Apple a corrigé ce bug en mars lorsqu'il a livré la version 9.1 de son player. Ce problème n'affecterait pas les Mac, selon le constructeur. Le bulletin d'Acros sous-entend que la faille concerne d'autres programmes que iTunes. Il précise que des informations complémentaires peuvent être communiquées aux entreprises et administrations, mais que leur divulgation publique fournirait trop de détails ce qui augmenterait de façon inconsidérée le risque d'exploitation de la faille.

On peut penser qu'Acros n'aurait peut-être pas signalé le problème s'il s'était effectivement limité à iTunes et s'il avait été corrigé il y a plusieurs mois déjà. HD Moore confirme que le bug s'étend au-delà et qu'il est tombé dessus en recherchant le ver affectant les raccourcis de Windows (identifié par Microsoft en juillet qui l'a corrigé le 2 août avec un patch d'urgence, procédure rarement utilisée par l'éditeur en dehors de ses 'Patch Tuesday' réguliers).

Un vecteur très différent suivant les applications

L'expert en sécurité constate que le vecteur de diffusion « est très différent entre les applications », mais le résultat se matérialise dans une .dll chargée après l'ouverture, par l'utilisateur, d'un fichier sain partagé sur un réseau local ou sur Internet. Dans un e-mail de réponse à nos confrères de Computerworld, il note qu'il est possible d'obliger un utilisateur à ouvrir un fichier partagé, que ce soit à partir d'un navigateur web ou en trompant d'autres applications, par exemple, par l'intermédiaire de documents Office embarquant un contenu. Cela lui rappelle un peu les attaques mises en oeuvre avec le ver touchant les raccourcis. Par exemple, les hackers pouvaient lancer une attaque à la volée en exploitant le bug des raccourcis depuis des sites malveillants via WebDAV et pouvaient embarquer leur code dans des documents Office, qui parvenaient aux victimes potentielles comme d'innocentes pièces jointes à des e-mails.

Pour résoudre ce problème, chaque éditeur concerné devra donc livrer son propre correctif, avertit HD Moore. Il existe peut-être des solutions de contournement, mais le problème principal réside dans l'application elle-même et pas nécessairement dans le système d'exploitation, souligne-t-il. Il peut y avoir des correctifs à appliquer au niveau de l'OS, mais ceux-ci risquent d'affecter les applications existantes.