Morto : Le ver qui exploite la faille humaine

Les chercheurs en sécurité mettent en garde contre une nouvelle menace informatique : le ver Morto.

Classé dans un niveau d’alerte « sévère » (donc loin d’être « critique ») par Microsoft, Win32/Morto.A a la particularité de tenter de s’introduire dans les systèmes Windows simplement en exploitant les mots de passe dits « faibles » révèle Silicon.fr.

Parmi eux se trouvent des noms communs, prénoms, suite de nombres, etc.. Par exemple 123456, letmein ou !@#$%^.

Une faille fameusement nommée PEBCAK (Problem Exists Between Keyboard And Chair, ou « Erreur informatique d’interface Chaise-Clavier » en français).

On retrouvera la liste utilisée par Morto sur la fiche que lui consacre l’éditeur. 37 mots de passes et 25 noms d’utilisateurs très communs y apparaissent.

Pour mener ses attaques, Morto s’appuie sur le RDP (Remote Desktop Protocol), un protocole de Microsoft permettant de se connecter d’un poste de travail à un autre depuis l’outil Remote Desktop Connection (RDC).

Le protocole est utilisé sur toutes les versions « pro » de Windows depuis XP, même les versions serveurs. L’exploitation de RDP serait une première, selon F-Secure.

Une fois la machine infectée, Morto scanne le réseau local pour vérifier la présence d’autres machines sous RDC ouvert. Ce qui génère un trafic important sur le port TCP 3389.

Une fois introduit, Morto se réplique sur les disques locaux du serveur, copie des fichiers (notamment sens32.dll et cache.txt) téléchargés depuis un serveur distant.

Il s’arrange ensuite pour désactiver les applications de sécurité de la machine ou rester invisible à leurs yeux.

Contrôlable à distance, le ver peut transformer la machine en zombie et participer à un DDoS. Une fois en place sur les PC d’un réseau informatique d’entreprise, il peut aussi voler des données sensibles, ou effectuer toute tâche au bon plaisir du pirate ou de ses « clients » .

Microsoft rappelle que « ce malware n’exploite pas une vulnérabilité de Remote Desktop Protocol, mais repose plutôt sur des mots de passe faibles« .

Autrement dit, aucun correctif de sécurité n’est à attendre, à part plus de prévention auprès des utilisateurs.

De plus, la propagation du ver « continue de rester assez faible » en comparaison à un Sality ou IRCbot.

Il n’empêche que sa propagation a gagné 87 pays et que Windows XP est le principal système attaqué même si les autres versions de l’OS ne sont pas épargnées, selon Microsoft.

Pour prévenir ce type d’intrusion, l’éditeur rappelle qu’un mot de passe fort est indispensable et doit utiliser lettres, chiffres et ponctuation et d’une longueur de 14 caractères au moins. Dans l’idéal.

Une « pass-phrase » enchainant des mots non liés entre eux est également pratiquement inviolable, et plus facile à retenir. Pour les anglophones, une vue originale sur la création de mots de passe.

Logo : © polkan61 – Fotolia.com