Une nouvelle faille de type 0-day, donc déjà exploitée au moment où elle est révélée, touche actuellement Windows. Cette brèche est doublement « intéressante », non seulement par ses détails techniques, mais aussi par son exploitation.
La faille de sécurité est considérée comme critique et touche les raccourcis, ou plus exactement la manière dont Windows XP se charge d’afficher les éléments graphiques pour ces raccourcis, via Shell32.dll. Le problème atteint sa plus grande dangerosité avec les clés USB quand l’exécution automatique est activée. Si un fichier lnk (« Link », raccourci) a été spécialement créé pour tirer profit de la faille, la machine va se retrouver infectée.
Malheureusement, désactiver l’exécution automatique ne permet que de mitiger les risques, car effectuer un double-clic sur le raccourci reviendra au même. Or, de la manière dont la faille est exploitée, aucun mécanisme de sécurité ne peut empêcher le malware de fonctionner. Et pour cause : il s’agit d’un rootkit qui présente la particularité d’installer deux pilotes signés, mrxnet.sys et mrxcls.sys, dont la mission est entre autres de masquer le rootkit.
..... La faille touche toutes les versions de Windows depuis XP (SP3) jusqu’à 7, et donc aussi Windows 2000, Windows XP RTM, SP1 et SP2. À noter également que l’UAC n’intervient pas, ni sous Vista, ni quel que soit son réglage sous Windows 7.
Microsoft propose des Solutions de contournement (en attendant le correctif) :
Désactiver l'affichage des icônes pour les raccourcis
Remarque : L'utilisation de l'Éditeur du Registre de façon incorrecte peut entraîner des problèmes sérieux qui peuvent vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant de l'utilisation incorrecte de l'Éditeur du Registre puissent être résolus. Utilisez l'Éditeur du Registre à vos propres risques. Pour plus d'informations sur la façon de modifier le Registre, consultez la section «Modification des clés et des valeurs" dans l'Éditeur du Registre (Regedit.exe) ou consulter la rubrique «Ajouter et supprimer des informations dans le Registre" et "Modifier les données du Registre" dans Regedt32. exe.
Cliquez sur Démarrer, sur Exécuter, tapez Regedit dans la zone Ouvrir, puis cliquez sur OK
Recherchez et puis cliquez sur la clé de Registre suivante:
HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
Cliquez sur le menu Fichier et sélectionnez Exporter
Dans le registre de dialogue Fichier boîte d'exportation, entrez LNK_Icon_Backup.reg et cliquez sur Enregistrer
Note : Cela créera une sauvegarde de cette clé de Registre dans le dossier Mes documents par défaut
Sélectionnez la valeur (par défaut) sur la fenêtre de droite dans l'éditeur de Registre. Appuyez sur Entrée pour modifier la valeur de la clé. Supprimer la valeur, de sorte que la valeur est vide, puis appuyez sur Entrée.
Redémarrer l'ordinateur.
Impact de cette solution : Désactiver les icônes soient affichées pour les raccourcis empêche la délivrance d'être exploitée sur les systèmes affectés. Lorsque cette solution de contournement est mis en œuvre, des fichiers de raccourci et Internet Explorer raccourcis n'auront plus une icône s'affiche.
Désactiver le service WebClient
La désactivation du service WebClient permet de protéger les systèmes contre les tentatives d'exploiter cette vulnérabilité en bloquant le vecteur d'attaque le plus probable à distance via le Web Distributed Authoring and Versioning (WebDAV) service à la clientèle. Après l'application de cette solution de contournement, il sera toujours possible pour les attaquants distants qui parviendrait à exploiter cette vulnérabilité pour provoquer Microsoft Office Outlook pour exécuter des programmes situés sur l'ordinateur de l'utilisateur cible, ou le réseau local (LAN), mais les utilisateurs seront invités pour la confirmation avant l'ouverture des programmes arbitraires sur l'Internet.
Pour désactiver le service WebClient, procédez comme suit:
Cliquez sur Démarrer, sur Exécuter, tapez services.msc et puis cliquez sur OK.
Clic-droit sur WebClient service et sélectionnez Propriétés.
Modifier le type de démarrage sur Désactivé. Si le service est en cours d'exécution, cliquez sur Arrêter.
Cliquez sur OK et quittez l'application de gestion.
Impact de cette solution : Lorsque le service WebClient est désactivé, Web Distributed Authoring and Versioning (WebDAV) demandes ne sont pas transmises. En outre, les services qui dépendent du service client Web ne démarre pas et un message d'erreur sera consigné dans le journal système. Par exemple, les actions WebDAV seront inaccessibles à partir de l'ordinateur client.
Comment annuler la solution de contournement :
Pour réactiver le service WebClient, procédez comme suit:
Cliquez sur Démarrer, sur Exécuter, tapez services.msc et puis cliquez sur OK.
Clic-droit sur WebClient service et sélectionnez Propriétés.
Changer le type de démarrage automatique. Si le service ne fonctionne pas, cliquez sur Démarrer.
Cliquez sur OK et quittez l'application de gestion.
@+
En cas de problème constaté sur un sujet, alertez un modérateur. N'intervenez pas vous-même. Merci
bonsoir
apparemment il y a la mise à jour attendue
est ce que j'ai une manip a faire, avant la mise à jour ?
car j'avais sauvegardé la branche de la BDR et fais les manip suggérées par Chantal
Merci d'avance
Aucune consigne particulière avant la mise à jour concernant le correctif déjà appliqué.
je viens de faire la mise a jour,
et mes raccourcis sur le bureau sont des carrés blancs
C'est pour cela que je demandais si je devais faire la manip inverse pour la BDR que j'avais modifiée.
si oui, je fais comment SVP ?
Désactiver l'affichage des icônes pour les raccourcis
