Un contrôle ActiveX vidéo provoque (sans le moindre conditionnel, l’exploit est utilisé « dans la nature ») l’ouverture d’un accès propice à l’injection d’un code exécutable à distance. Le Technet a lancé une alerte dès lundi, accompagnée de quelques mesures de contournement dont le paramétrage d’un killbit ActiveX. XP SP2 et 20à3 Server sont fortement exposés. Les équipes de CSIS ont, les premières, signalé l’exploit et la faille.
Chez McAfee, l’on se livre à une analyse un peu plus poussée de l’exploitation elle-même. Le site de compromission –en fait le site visité par la victime- ne possède en tout et pour tout qu’un lien vers un tout autre site, apparemment légitime. Ce second site compromis n’est lui aussi qu’un intermédiaire, puisqu’il joue le rôle de proxy entre le premier serveur et les ressources « noires » hébergeant les codes d’exploitation. C’est un peu l’histoire du « Pélican de Jonathan » de Robert Desnos. A un détail près cependant. C’est qu’il est très difficile de faire une omelette avec les serveurs masqués par le proxy, surtout si ce dernier est encore camouflé par d’autres techniques, du genre Fast flux. Et ceci sans parler de l’extraterritorialité probable dudit serveur de malware.
