Le 19 mai dernier était révélé une faille critique dans Word. Celle-ci avait été rapidement exploitée par des créateurs de codes malveillants, même si les attaques étaient restées relativement réduites et ciblées. Les attaques exploitant la vulnérabilité du logiciel de traitement de texte combinaient un document Word piégé joint à un e-mail, un cheval de Troie (Ginwui.A), une porte dérobée et un rootkit.
Une fois l'ordinateur infecté, le pirate pouvait prendre le contrôle de la fonction cmd.exe de Windows (invite de commande, Windows Command Prompt). D'après F-Secure, éditeur de solutions de sécurité, l'infection par le Troyen autorisait alors la prise de contrôle à distance du poste et l'exécution d'actions telles que la création, la lecture, l'écriture et l'effacement de fichiers et de répertoires, l'accès à la base de registre et sa modification, la manipulation des services Windows, le démarrage ou l'arrêt de processus.
Or, une nouvelle vulnérabilité découverte le 15 juin et affectant cette fois Excel, n'est pas sans comporter quelques similitudes avec celle de Word. Elle affecte, d'après Secunia, l'ensemble des plates-formes Windows. Grâce à un e-mail, comportant en pièce jointe un fichier Excel vérolé, un cheval de Troie baptisé Mdropper.J s'installe sur le poste de l'utilisateur qui se sera laissé abuser.
Ce premier Troyen ne reste toutefois pas inactif bien longtemps. En effet, après avoir ouvert une porte dérobée sur l'ordinateur compromis, il télécharge et installe un autre de ses congénères, dénommé Booli.A.
Sitôt ce second cheval de Troie activé, il se montre encore moins paresseux que son prédécesseur. D'après Symantec, il s'efforce lui aussi de télécharger un autre logiciel malveillant. Pour cela, il injecte du code directement dans Internet Explorer, afin de passer outre les protections du pare-feu, puis se connecte à un serveur situé à Hong-Kong.
| Une attaque programmée pour exploiter le cycle de patch mensuel de Microsoft |
Selon la société de sécurité américaine Secure Elements, le créateur de ce nouveau cheval de Troie aurait tiré directement profit du dernier bulletin de sécurité de Microsoft publié tout juste un jour plus tôt.
Grâce au cycle mensuel des patchs de sécurité de Microsoft, les développeurs de codes malveillants disposent potentiellement d'un mois pour exploiter la vulnérabilité d'Excel, le patch de l'éditeur n'étant pas attendu avant le 11 juillet.
Le Troyen ciblant Word était apparu lui aussi seulement quelques jours après la publication du bulletin de sécurité. Microsoft qui, jugeant le risque mineur, n'avait pas hâté son rythme de publication et s'en était tenu à son calendrier habituel.
Néanmoins, les éditeurs attribuent à cette nouvelle zero-day vulnerability, c'est-à-dire une faille exploitée le jour même de sa découverte, un niveau de dangerosité faible. Pour Symantec le risque n'est que de 1 sur une échelle de 5.
Disposer d'un logiciel antivirus à jour suffit à se protéger de cette menace. Quant à Microsoft, dans l'attente de son prochain bulletin de sécurité, il recommande aux utilisateurs de se montrer particulièrement vigilants, notamment lorsqu'ils reçoivent des e-mails d'expéditeurs inconnus.
|
Dossier 