Il s'agit d'une faille d'Internet Explorer (qu'Outlook et Outlook Express utilisent pour afficher le HTML) baptisée Object Data Remote Execution. D'ailleurs, comme dans beaucoup d'alertes sécuritaires Microsoft prévient que « cette vulnérabilité affecte les ordinateurs équipés de Microsoft Internet Explorer. Vous pouvez être concerné par ce problème même si vous n'utilisez pas Internet Explorer comme navigateur. » Ce bulletin MS03-040 conseillait bien d'appliquer le correctif immédiatement et indiquait qu'« un attaquant pourrait aussi créer un message électronique au format HTML qui tenterait d'exploiter cette vulnérabilité. »

Selon Sophos, si votre ordinateur dispose d'une copie non patchée d'Outlook, le courriel avec W32/Netsky-V exécute une rétroconnexion HTTP (Web) vers le port 5557 sur l'ordinateur qui a vous envoyé l'email. Cette connexion Web est utilisée pour télécharger un second script HTML. Ce script à son tour exploite un second bogue d'Outlook pour créer une rétroconnexion FTP sur le port 5556. La connexion FTP est utilisée pour télécharger, installer et lancer le ver W32/Netsky-V. Ce ver est programmé pour lancer des attaques par déni de service vers des sites de P2P entre les 22 et 28 avril prochains.

Il n'est donc pas inutile de rappeler que Microsoft vient de sortir « une mise à jour cumulative pour Outlook Express (837009) » prévenant l'« exécution d'un code à distance » grâce à une vulnérabilité de traitement des URL MHTML (mhtml://) jugée « critique » et conseille d'« appliquer cette mise à jour dans les plus brefs délais ». Attention, « de nombreuses applications, comme Internet Explorer, utilisent Outlook Express pour traiter des documents encodés en HTML. »

Le dernier bulletin de sécurité avertissant de la sortie d'un patch cumulatif pour IE (MS04-004) a été mis à jour pour le patch day qui a vu la correction de 20 failles de Windows dont de nombreuses critiques et inquiétantes (y compris comme celle qui a permis l'épidémie de Blaster l'an dernier). Alors si vous ne l'avez pas encore fait : faites chauffer votre connexion Internet et à vos patchs…

Sophos virus analysis : W32/Netsky-V

Bulletin MS04-013 : mise à jour de sécurité cumulative pour Microsoft Outlook Express, taux de sévérité critique, 13 avr. 2004

Bulletin de sécurité Microsoft MS03-040, Correctif cumulatif pour Internet Explorer (828750), taux de sévérité critique, 3 oct. 2003

Microsoft France, Mise à jour de sécurité Windows pour avril 2004, 13 avr. 2004

Microsoft Security Bulletin MS04-004 : Cumulative Security Update for Internet Explorer (832894) Version Number 1.7 Issued February 2, 2004 & Updated April 12, 2004

MS04-004 : Mise à jour de sécurité cumulative pour Internet Explorer (832894) - Taux de sévérité critique - Version 1.5 - Première publication le 2 février 2004 et dernière publication le 12 février 2004

JDN, En bref international, Deux nouvelles variantes de Netsky pointées du doigt (20/04/2004) Utility computing, Netscape, virus, IBM et Manugistics