La vulnérabilité Windows XP, révélée par Google, attire les pirates

Cloud

Après la publication d’une faille « zero-day » sur Windows XP dévoilée par un ingénieur chez Google, Microsoft reconnaît qu’il existe des attaques dans ce sens. L’éditeur propose une solution temporaire en attendant un vrai patch.

Cela ne va pas arranger les relations entre Microsoft et Google.

Une faille « zero-day » sur Windows XP, récemment dévoilée par un ingénieur sur Google, est devenue la cible de pirate.

Selon Graham Cluley, un consultant senior IT chez Sophos (éditeur de solutions de sécurité), un site Web légitime proposant des solutions open source a été repéré en train d’adresser à son insu l’exploit (programme exploitant la faille) vers des utilisateurs PC.

Le nom du site n’a pas été divulgué. Mais Microsoft a confirmé qu’il était conscient des attaques et a assuré que l’exploit a été mis hors d’état de nuire [« taken down » dans la version originale, ndlr].

Dans un avis de sécurité réactualisé de Microsoft, une analyse des attaques montre que les systèmes Windows Server 2003 ne sont pas ciblés.

Néanmoins, la vulnérabilité est liée au centre d’assistance et de support [Windows Help and Support Centre] pour Windows XP et Windows Server 2003 . Ce système peut du coup devenir une cible pour une attaque.

Si un pirate réussit à exploiter ce programme qui vise la faille, il peut injecter du code arbitraire à distance si l’utilisateur final consulte une page Web infectée comme celles détectées par Sophos.

« L’agent malveillant téléchargé est un cheval de Troie de type Delphi, qui embarque une version complète du navigateur Firefox », explique Graham Cluley. « Il semblerait que les pirates essaient de tirer profit de cette version tronquée de Firefox en générant des gains publicitaires (bannières de publicité à cliquer). »

Les actes de Travis Ormandy, l’ingénieur de Google par qui le scandale est arrivé, ont été vivement critiquées : Microsoft aurait manqué de temps pour réagir et résoudre le problème.

En effet, cinq jours après avoir informé Microsoft de sa découverte, Travis Ormandy a divulgué un code d’attaque complet au public.

« Si je n’avais pas partagé cette information, mon avertissement à Microsoft aurait été ignoré », argue-t-il.

Microsoft a annoncé qu’une mise à jour réglant définitivement le problème arriverait rapidement.

En attendant, Microsoft préconise plusieurs actions pour contourner entièrement le risque. Les clients concernés par cette vulnérabilité peuvent désactiver le protocole hcp:// pour éviter toute attaque.

Cette manoeuvre permet de couper les liens locaux et légitimes du centre d’aide disponibles sous ce protocole.

Un outil pour couper le protocole HCP peut être téléchargé ici.

Adaptation d’un article d’eWeek UK en date du 16 juin : Hackers Now Targeting Windows Zero-Day Exposed By Google

Lire aussi :