Windows massivement victime de ses fichiers images WMF

Cloud

Une faille du logiciel de lecture des images Windows MetaFile est massivement exploitée. Plus de 70 variantes infectieuses sont en circulation.

Apparue le 27 décembre 2005, la faille PFV-Exploit ou Exploit.Win32.IMG-WMF qui touche le moteur de rendu de certaines images de la plupart des versions de Windows (y compris Windows XP Service Pack 2 et les versions Server 2003) n’a toujours pas été corrigée par Microsoft ce jour. Autrement dit, des centaines de millions d’ordinateurs dans le monde sont potentiellement faillibles. Conscient du problème, l’éditeur déclare travailler à la mise au point d’un correctif et s’est, pour le moment, contenté d’émettre une alerte de sécurité.

L’exploitation de la vulnérabilité « pourrait permettre à un attaquant d’exécuter un code arbitraire sur le système de l’utilisateur en hébergeant une image Windows Metafile (WMF) trafiquée sur site web malveillant », annonce Microsoft. En cas de succès de l’attaque, l’intrus disposera des mêmes droits d’utilisation de la machine infectée que ceux de son utilisateur. Autrement dit, si le profil de l’utilisateur victime dispose de droits réduits, le système « pourrait être moins touché que ceux des utilisateurs qui disposent des droits d’administrateurs », toujours selon l’éditeur de Redmond.

Les métafichiers de Windows (WMF) sont des fichiers images utilisés notamment par la suite bureautique Office (Word, etc.). Il s’avère que c’est l’application de lecture des WMF (Aperçu des images et des télécopies Windows ou Windows Picture and Fax Viewer) qui est trouée et permet d’exploiter du code malveillant afin de transformer un ordinateur en PC zombie. Du coup, les navigateurs alternatifs comme Firefox ou Opera ne sont pas plus épargnés par les risques d’infections qu’Internet Explorer. A la différence notable que le chargement des WMF requiert l’avis de l’utilisateur. « Les utilisateurs d’Internet Explorer ont un plus grand risque d’infection automatique tandis que les utilisateurs de Firefox et d’Opéra sont interrogés pour savoir s’ils veulent ouvrir l’image WMF, ou non. Ils sont alors également infectés s’ils répondent « oui » », souligne l’éditeur d’antivirus F-Secure.

Une vulnérabilité extrêmement critique

Si la firme spécialisée en sécurité Secunia estime « extrêmement critique » la faille WMF, son exploitation nécessite cependant que l’utilisateur se rende sur un site Web infectieux ou télécharge, d’une façon ou d’une autre, un WMF infectieux. Soit en cliquant sur un lien ou en ouvrant un fichier joint reçu par e-mail (comme le courriel Happy New Year très en vogue en ce début d’année et qui contient un fichier WMF présenté avec l’extension .jpg), soit en se rendant directement sur un site au contenu douteux. F-Secure en dénombre déjà une douzaine du type toolbarbiz.biz ou iframebiz.biz.

L’éditeur a également identifié 70 versions différentes de fichiers WMF malveillants en circulation. Et craint que ceux-ci permettent la propagation de virus et autres agents infectieux. Le code permettant d’exploiter la faille a, en effet, été diffusé sur Internet. Pour Mikko Hypponen, responsable de la recherche chez F-Secure, « la faille de WMF a été employée avec une motivation criminelle claire pour installer le spyware et pour duper les consommateurs ordinaires dans le but de leur faire acheter de faux produits de sécurité pour leurs ordinateurs ».

Face à l’absence de correctif, l’utilisateur doit redoubler de prudence quand il charge un fichier WMF. Par sécurité, celui-ci peut désactiver l’outil de visualisation en tapant « regsvr32 -u %windir%system32shimgvw.dll » à partir du service « Exécuter… » du menu Démarrer (sous Windows XP et Server 2003). F-Secure recommande également aux administrateurs réseaux de filtrer les fichiers WMF à partir du proxy HTTP et au niveau du service de courrier SMTP. Solution temporaire en attendant un correctif qui tarde à venir…