SP2  l’ombre des premières failles surgit

Cloud

Découvertes par une société de sécurité allemande, les brèches nécessitent une intervention humaine pour valider une éventuelle infection de l’ordinateur. Un risque faible mais bien réel.

Alors que l’éditeur investit sur le déploiement du service pack 2 (SP2) pour renforcer la sécurité de Windows XP, la mise à jour recenserait déjà son lot de failles. C’est du moins l’avis de Heise Security, une entreprise allemande qui a repéré deux brèches issues d’une nouvelle caractéristique introduite dans le SP2 et qui avertit l’utilisateur avant d’autoriser l’exécution d’une application non issue d’une zone de confiance, dont le réseau Internet.

Le première faille est liée à la commande “cmd.exe” (lancée à partir de la fonction “Exécuter” de Windows XP SP2) qui ouvre une fenêtre en mode Dos (mode Ligne de commandes plus exactement). Selon Jürgen Schmidt, auteur du rapport, les actions d’un fichier exécuté dans cette fenêtre sont ignorées par les zones de confiance définies par Microsoft. Du coup, un individu malveillant pourrait exploiter cette fenêtre de commandes comme vecteur d’infection en persuadant l’utilisateur crédule d’y glisser la pièce jointe infectieuse.

La seconde faille exploite une faiblesse de l’Explorateur de fichiers de Windows. Celui-ci ne gère pas bien les zones d’identification (ZoneID). Celles-ci sont attribuées à chaque fichier téléchargé par Internet Explorer et Outlook Express. En fonction du niveau de confiance attribué à la ZoneID, le système avertit, ou non, l’utilisateur des risques qu’il encoure à exécuter le fichier joint. Cependant, il suffit que l’application malicieuse remplace, par simple copie, un fichier considéré comme de confiance par le système, pour que l’exécution de l’application malicieuse n’informe pas l’utilisateur des risques potentiels.

Patch du SP2 en vue?

On le voit, dans les deux cas, l’intervention “manuelle” de la victime est indispensable pour la réussite de l’opération. La menace reste donc faible. Il suffit cependant de constater le nombre de courriels de type “social engineering” qui usurpent l’identité d’entreprises reconnues (notamment dans le secteur bancaire), afin d’inciter l’internaute à effectuer lui-même les actions infectieuses, pour se convaincre que cette méthode d’attaque rencontre un certain succès. Cela est d’autant plus inquiétant que les applications exécutées en mode Commandes en ligne, notamment, sont ignorées des antivirus.

Heise Security déclare avoir informé Microsoft le 12 août 2004 de ses découvertes. “Nous ne jugeons pas ces problèmes comme conflictuels avec nos objectifs sécuritaires”, a répondu le centre de sécurité de l’éditeur. Lequel n’évoque pas moins la possibilité de corriger ses failles dans l’avenir. Ce qui donne à réfléchir sur l’éventuelle arrivée de correctifs du SP2.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur