MS10-061, 63, 64, 65… et la planète sauta

Actualités - Alerte - Posté on 15 Sep 2010 at 11:39 par Solange Belkhayat-Fuchs

Trois failles critique à colmater d’urgence compte tenu de leur indice d’exploitation MS10-063, 64, 65 (deux attaques distantes potentielles par corruption mémoire et BoF dans Outlook, un risque de déni de service dans IIS) : comme prévu, le mardi des rustines de Microsoft compte 9 bulletins et résout 11 CVE . A ces trois failles considérées comme dangereuses, l’on doit ajouter la 061 (défaut dans le spooler d’impression) qui fait l’objet d’une exploitation active « dans la nature » comme le précise Jerry Bryant du MSRC dans le billet de ce mois-ci .

Et il ne s’agit pas de n’importe quelle exploitation… souvenons-nous, Stuxnet, également appelé « exploiteur de faille LNK » MS08-067, qui visait notamment les architectures WinCC Siemens, un logiciel largement utilisé dans les infrastructures Scada. Après quelques analyses supplémentaires -encore un titre de gloire des laboratoires Kaspersky-, il apparaît que ce ver utilise les spoolers d’impression comme moyen de propagation, en plus des clefs USB. Ce qui porte à 3 le nombre de ZDE intégrés dans ce code viral…un record en la manière. Généralement, les auteurs de virus ne font jamais preuve d’une telle débauche de moyens techniques, préférant économiser les « zero days » dans le but de prolonger leur présence sur la scène du hack noir. Dans ces perfectionnements, l’on doit intégrer une autre « première », le fameux détournement de certificats Verisign qui permet au virus de montrer patte blanche. Selon nos confrères du Reg, cette liste pourrait même s’allonger, puisque deux autres ZDE (non encore « patchés ») seraient utilisés par ce même vecteur d’infection. Ajoutons à cette liste déjà longue quelques exploits plus classiques, connus et corrigés de longue date, mais qui ne sont utilisés que lorsque le virus se sait sur un réseau industriel non protégé (ce qui implique un mécanisme d’analyse topologique du milieu… encore une nouveauté). Cela fait beaucoup pour un code qui ne vise qu’un très petit nombre d’installations de par le monde. Mais des installation d’importance stratégiques.

Qui est derrière Stuxnet ? Si l’on élimine l’hypothèse du savant-fou qui cible la destruction de la planète, ou le délire romanesque d’une organisation mafieuse internationale genre Smersh, il ne reste que la plus improbable et la plus logique des hypothèses : l’Å“uvre d’un Etat. Soit un Etat qui souhaiterait circonvenir les réseaux Scada du monde occidental et de leurs alliés -scénario un peu trop mégalomaniaque pour être attribué même à la Corée du Nord-, soit par un pays qui chercherait à brouiller les cartes de la diplomatie internationale et à attirer sur l’un de ses ennemis des soupçons impossibles à nier. Hypothèse assez tirée par les cheveux pour être réaliste.

Ce qu’il y a de formidable, avec les bulletins d’alerte Microsoft, c’est que l’on va de rebondissement en rebondissement au fur et à mesure que paraissent les chapitres mensuels. À côté de çà, les advisories de Cisco, d’Oracle ou d’Adobe ressemblent à de la littérature de quai de gare …

Laisser une réponse