février 26th, 2009

Aussi sûrement menacé d’extinction que le loup en Haute Savoie, le virus doit savoir s’adapter pour survivre. Parfois même dans des conditions quasi impossibles, ainsi cette tentative d’infections multiples de virus « Windows » sous Linux que Lokesh Kumar, de l’Avert, a tenté de modéliser. Et contrairement à ce que l’on aurait pu attendre, dans certains cas, « ça marche », annonce triomphalement le chercheur. « Pis encore, un Ubuntu sous Wine peut même se transformer à son tour en vecteur d’infection ». Certes, tout n’est pas aussi simple, et certains keylogers échouent lamentablement, ne parvenant pas à récupérer les E/S du clavier. A quoi peut donc servir une telle expérience ? On ne sait si c’est pour affirmer la compatibilité « bug pour bug » des émulateurs ou pour changer un peu des éternels tests de malwares exécutés au sein de machines virtuelles.

Il faut avouer que la vie de virus est tout de même plus agréable lorsqu’elle prend la plastique d’une Cameron Diaz ou d’une Kate Hudson. Et c’est le cas que dénonce Dancho Danchev, qui s’est amusé à constituer la « compil » des faux blogs de célébrités féminines. Blogs d’autant plus dangereux que le sujet se prétend dénudé. L’accès aux charmes de Britney ou de Paris (Hilton) n’est bien entendu possible qu’après téléchargement d’une nouvelle version de Codec vidéo ou d’ActiveX libérateur. Dure vie que celle de ces célébrités qui ne peuvent sortir sur la toile sans déclencher une fouille au corps de la part de tous les antivirus de la création. Beau métier, d’ailleurs, que celui d’antivirus.

Graham Clueley, l’homme communication de Sophos, nous apprend qu’il faut se méfier d’un certain « Error Check System » qui sévirait sur FaceBook. Ce prétendu logiciel de gestion des messages d’erreur est en fait une application manifestement étudiée pour « faire du click ». Le processus n’est viral que dans sa manière de se développer, et ne comporte apparemment aucune charge destructive ou de vol d’information. Le « Web 2.0 » est un monde merveilleux de croissance et de mutations pour les malwares de tous crins.

Pourtant, parfois, la lutte est âpre entre tous ces staphylocodes. L’on avait l’habitude –Conficker en est l’un des nombreux exemples- de voir certains virus bloquer les mécanismes de mise à jour des programmes de défense. Un Kaspersky.ru ou un McAfee.com redirigé vers l’adresse de bouclage 127.0.0.1 frisait presque le banal et le quotidien. Il est un peu plus rare, remarque Daniel Wesemann du Sans, de voir un virus museler les mécanismes de mise à jour d’autres virus. « Si seulement ils pouvaient continuer à se battre directement, sans utiliser nos PC comme terrain d’opération » soupire l’auteur de cette analyse…

La lutte est dure également pour les gourous et les visionnaires. Avec tous ces changements, tenir des propos originaux dans le domaine du « coding » viral relève de la mission impossible, surtout après l’avalanche de « prédictions » traditionnellement publiées en ce début d’année. Marc Fossi, du Response Team de Symantec, s’y risque dans les colonnes du HNS. Les attaques Web, le Web « 2.0 », les faux antivirus… et un peu d’insécurité des appareils mobiles dans le cadre d’une attaque « globale » passant par les navigateurs embarqués. Nihil nove sub sole, du moins chez Symantec.

L’alerte lancée par Microsoft est claire : version PC (éditions Office 2000 à 2007) ou Macintosh (Office 2004/2008 et convertisseur XML), toutes sont vulnérables et contiennent une faille pour l’instant exploitée à faible échelle. Pour l’heure, seules les versions Windows sont affectées par un « dropper » chargé d’installer une porte dérobée sur la machine victime. La backdoor en question surveille le port 80 en quête de mises à jour.

Le motif est assez sérieux pour que Bill Sisk du MSRC publie un billet sur le blog du « response team ». Le problème est d’autant plus épineux que les seules contre-mesures proposées jusqu’à présent consistent à utiliser Moice, nettement plus connu (sur un axe Les Ulis/Les Ulis) sous l’appellation transparente de « Microsoft Office Isolated Conversion Environment pour le Pack de compatibilité pour formats de fichiers Word, Excel et PowerPoint 2007 ». L’installation de Moice ne suffit pas, il faut en outre l’activer en fonction de l’extension à interpréter. Une seconde mesure de prudence consiste à bloquer le lancement automatique d’Office 2003 par le truchement d’une modification de la BDR.

Il est très peu probable que ces conseils soient entendus, voir suivis, par la majorité des usagers, compte tenu de leur complexité. Fort heureusement, l’exploit découvert est assez confidentiel. Il y a cependant assez d’éléments pour provoquer, en cas d’intensification des attaques, la publication d’un correctif « out of band »… 20 jours nous séparent du prochain « Patch Tuesday ». En attendant cette rustine salvatrice, il est conseillé de se méfier des tableaux provenant d’expéditeurs inconnus ou peu fiables.

Après avoir reconnu l’existence d’une faille affectant Acrobat, Adobe s’empresse de publier… un correctif flash player. Les quelques rares utilisateurs du format pdf doivent prendre garde car, si la désactivation de javascript permet d’éviter de succomber aux assauts de l’infection découverte, ce n’est là qu’une mesure transitoire qui ne protège pas le moins du monde contre d’autres méthodes d’exploitation. Le Sans le crie haut et fort, Secunia insiste sur ce point. Quand au correctif… il pourrait bien arriver dans le courant du mois prochain.

Cette rapidité toute sénatoriale incite d’ailleurs H.D. Moore à tremper les touches de son clavier dans deux doigts de vitriol : « The best defense is Information » insiste-t-il. Et le père de Metasploit de se lancer dans un plaidoyer en faveur d’une politique de divulgation la plus ouverte possible. Sans une politique de libre information, il n’est pas possible de couper l’herbe sous les pieds des auteurs de malwares. Car précisément, ces informations techniques que les chercheurs mettent à la disposition du public servent également –servent surtout- aux développeurs de programmes de protection périmétrique. Les chasseurs de virus, bien que possédant leurs propres canaux « occultes » d’information, utilisent amplement les ressources de Milw0rm ou les scripts de Metasploit ; affirme HDM.

Cette diatribe est d’autant plus justifiée que le nombre d’attaques par le biais de logiciels « tiers » tend à augmenter au fur et à mesure que se restreignent les bugs système. Moins de trous Windows, plus d’exploits Winzip, de virus ciblant Acrobat Reader ou d’infections visant un lecteur multimédia. Adobe est d’ailleurs, depuis les 10 ou 15 derniers mois, l’une des cibles les plus prisées par les auteurs de « kits de malwares ».

Sans rapport direct avec ce qui précède, signalons la sortie du dernier numéro d’ (In)Secure, le magazine de Mirko Zorz, éditeur et rédacteur en chef du Help Net Security, l’un des meilleurs sites d’information « sécu » du bloc européen. Dans ce numéro, 4 pages sont précisément consacrées à l’installation de la toute dernière version de Metasploit –la V4- sur une clef USB. Il faut au minimum 2 Go de mémoire pour ce faire, 4 Go étant la taille recommandée si l’on souhaite conserver quelques traces des logs Nessus par exemple. « Building a bootable BackTrack 4 thumb drive with persistent changes and Nessus » est une oeuvre composée par Kevin Riggins