Netsky-v se transmet automatiquement par MS Outlook non patché
Par Mozinet, mercredi 21 avril 2004 à 08:27 :: Sécurité :: #152 ::
Les variantes du virus Netsky dont le code a été diffusé sur Internet se multiplient (on en est à Y à cette heure et peut-être plus qui sait) et infectent habituellement les possesseurs de PC qui ont eu la mauvaise idée de cliquer sur une pièce jointe à un email infecté. Pourtant la version estampillée V par les éditeurs d'anti-virus utilise également une faille d'octobre dernier pour infecter automatiquement les utilisateurs d'Outlook sur des ordinateurs non patchés.
Il s'agit d'une faille d'Internet Explorer (qu'Outlook et Outlook Express utilisent pour afficher le HTML) baptisée Object Data Remote Execution. D'ailleurs, comme dans beaucoup d'alertes sécuritaires Microsoft prévient que « cette vulnérabilité affecte les ordinateurs équipés de Microsoft Internet Explorer. Vous pouvez être concerné par ce problème même si vous n'utilisez pas Internet Explorer comme navigateur. » Ce bulletin MS03-040 conseillait bien d'appliquer le correctif immédiatement et indiquait qu'« un attaquant pourrait aussi créer un message électronique au format HTML qui tenterait d'exploiter cette vulnérabilité. »
Selon Sophos, si votre ordinateur dispose d'une copie non patchée d'Outlook, le courriel avec W32/Netsky-V exécute une rétroconnexion HTTP (Web) vers le port 5557 sur l'ordinateur qui a vous envoyé l'email. Cette connexion Web est utilisée pour télécharger un second script HTML. Ce script à son tour exploite un second bogue d'Outlook pour créer une rétroconnexion FTP sur le port 5556. La connexion FTP est utilisée pour télécharger, installer et lancer le ver W32/Netsky-V. Ce ver est programmé pour lancer des attaques par déni de service vers des sites de P2P entre les 22 et 28 avril prochains.
Il n'est donc pas inutile de rappeler que Microsoft vient de sortir « une mise à jour cumulative pour Outlook Express (837009) » prévenant l'« exécution d'un code à distance » grâce à une vulnérabilité de traitement des URL MHTML (mhtml://
) jugée « critique » et conseille d'« appliquer cette mise à jour dans les plus brefs délais ». Attention, « de nombreuses applications, comme Internet Explorer, utilisent Outlook Express pour traiter des documents encodés en HTML. »
Le dernier bulletin de sécurité avertissant de la sortie d'un patch cumulatif pour IE (MS04-004) a été mis à jour pour le patch day qui a vu la correction de 20 failles de Windows dont de nombreuses critiques et inquiétantes (y compris comme celle qui a permis l'épidémie de Blaster l'an dernier). Alors si vous ne l'avez pas encore fait : faites chauffer votre connexion Internet et à vos patchs…
Sophos virus analysis : W32/Netsky-V
Bulletin MS04-013 : mise à jour de sécurité cumulative pour Microsoft Outlook Express, taux de sévérité critique, 13 avr. 2004
Bulletin de sécurité Microsoft MS03-040, Correctif cumulatif pour Internet Explorer (828750), taux de sévérité critique, 3 oct. 2003
Microsoft France, Mise à jour de sécurité Windows pour avril 2004, 13 avr. 2004
Microsoft Security Bulletin MS04-004 : Cumulative Security Update for Internet Explorer (832894) Version Number 1.7 Issued February 2, 2004 & Updated April 12, 2004
MS04-004 : Mise à jour de sécurité cumulative pour Internet Explorer (832894) - Taux de sévérité critique - Version 1.5 - Première publication le 2 février 2004 et dernière publication le 12 février 2004
JDN, En bref international, Deux nouvelles variantes de Netsky pointées du doigt (20/04/2004) Utility computing, Netscape, virus, IBM et Manugistics
Ce billet a été modifié en dernier le 21 April 2004 à 08:27:53.
Commentaires
1. Le mercredi 21 avril 2004 à 14:21, par Nicolas
2. Le jeudi 22 avril 2004 à 23:24, par Darken
3. Le vendredi 23 avril 2004 à 12:21, par MilZ
Ajouter un commentaire
Les commentaires pour ce billet sont fermés.