BlogZiNet

Le pire semble être passé. Le serveur distribuant le logiciel espion a été déconnecté. Pourtant, l'alerte doit vraiment inquiéter. Chaque internaute se doit d'en tirer les conséquences (sans compter les administrateurs réseau). Les éléments constitutifs de l'attaque sont toujours en place près à resservir :

Il s'agit d'une technique d'infection élaborée qui exploite trois différentes failles sur deux produits Microsoft. Les deux premières disposeraient d'un patch sorti au mois d'avril pour Windows 2000 Server et IIS. La troisième a rejoint récemment la cohorte des failles d'Internet Explorer non patchées. Microsoft reconnaît le caractère critique de cette alerte de sécurité Download.Ject.

Déjà une mise au point s'impose : il n'y a pas de virus dans cette affaire ! Ce n'est pas un virus qui a infecté les serveurs Web fonctionnant sous Windows 2000 Server et IIS mais des pirates, apparemment d'origine russe, qui auraient réussi à exploiter des failles de sécurité sur des serveurs n'ayant, selon Microsoft, pas bénéficié de la mise à jour 835732 de son bulletin de sécurité MS04-011. Pourtant, les experts disent ne pas être encore sûrs de la méthode utilisée pour compromettre les serveurs.

Les pirates se sont introduits dans ces serveurs pour leur faire distribuer, en plus des objets qu'ils expédient aux navigateurs, un bout de code JavaScript, Scob, – ces objets comme des pages Web ou des images ne sont ainsi pas modifiés – qui demande l'installation d'un troyen Berbew. Ainsi ni Scob ni Berbew ne sont des virus (pas plus que de la sous-catégorie des vers). Le serveur russe qui envoyait Berbew a été fermé.

Le JavaScript exploite deux vulnérabilités de votre cher Internet Explorer, non encore patchées par Microsoft, pour télécharger et exécuter le code. Aucun avertissement ne sera affiché. L'utilisateur n'a pas à cliquer sur des liens. La visite seule d'un site infecté est suffisante pour déclencher l'exploit. Des sites très populaires ont été visités et ont relayé l'attaque : des banques, des moteurs de recherches, des comparateurs de prix, etc.

Le troyen Berbew est un spyware qui récolte les mots de passe et les identifiants d'Ebay, de Paypal, d'Earthlink, de Juno et de Yahoo. Il les réexpédierait ensuite sur le réseau. Il afficherait aussi des fenêtres popup dans IE lors de la visite de certains sites pour amener l'utilisateur à saisir ses identifiants.

Le conseil aux internautes de K-Otik, du SANS Internet Storm Center et l'US Computer Emergency Reponse Center (CERT) du gouvernement fédéral américain :

1. Mettre à jour votre antivirus (défense anti « JS.Scob.Trojan » et « Berbew »)
2. Désactivez le Javascript
3. Utiliser un navigateur autre que Microsoft Internet Explorer

Si cet assaut semble jugulé, rien n'est réglé.

Mais les sites infectés ne sont, pour la plupart, par encore nettoyés et continuent à disséminer le code javascript malicieux. Il suffirait alors de changer l'adresse IP du serveur où télécharger le cheval de Troie pour réactiver l'attaque, ce qui est partiellement le cas aujourd'hui, car l'on a observé un autre cheval de Troie être téléchargé par le même code Javascript. (K-Otik)

Deux failles critiques d'IE non patchées

L'attaque est d'autant plus inquiétante que les failles d'Internet Explorer exploitées n'ont toujours pas reçu de patch de Microsoft. Elles ont été qualifiées « hautement critique » par Secunia. Il s'agit de deux vulnérabilités découvertes dans Internet Explorer 6. La première faille touche les fichiers d'aide de type CHM au format Microsoft ITS. Par l'intermédiaire du champ « Location » de l'en-tête HTTP, il est possible d'accéder aux ressources locales du PC visé. La seconde faille, de type Cross-Zone-Scripting, permet d'exécuter des scripts sur la zone locale. Il suffit d'un document au format HTML ou un site Web spécialement formé pour exploiter ces failles. Ces failles ont d'abord été activement exploitées pour l'installation d'adware comme i-lookup qui affiche des popup publicitaires.

Le 9 juin le CERTA (rattaché au premier ministre) conseillait ces contournements provisoires pour le moins peu pratiques :

• Désactiver l'exécution de scripts pour tous les sites web qui ne sont pas de confiance ;
• Désactiver la gestion du protocole ITS. Pour cela, renommer les clefs du registre Microsoft suivantes :
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ms-its
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\its
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\mk

  Note : on pourra renommer ces clefs de registre en ajoutant -off (ms-its devient ms-its-off).

Selon le CERT (gouvernement US) n'importe quel programme qui embarque le WebBrowser ActiveX control ou utilise le moteur de rendu HTML d'IE (MSHTML) peut être affecté par cette vulnérabilité (cela concerne la majorité des programmes qui affichent des liens hypertextes cliquables sous Windows).

Les conseils des experts en sécurité comme le CERT et y compris Microsoft sont en gros de désactiver tous les gadgets qui ont permis à Microsoft de faire rapidement un navigateur convivial, simple et très intégré à Windows. Il est ainsi conseillé de désactiver l'active scripting (JavaScript sauce Microsoft) et la technologie ActiveX, lire les emails dans Outlook et Outlook Express au format texte, ne pas cliquer sur des liens. Au final le CERT conseil d'utiliser utiliser un navigateur différent :

« Il y a un certain nombre de vulnérabilités significatives dans les technologies se rapportant au modèle de domaine/zone de sécurité d'IE, au modèle d'objet de DHTML, à la détermination des types MIME et ActiveX. Il est possible de réduire l'exposition à ces vulnérabilités en utilisant un navigateur Web différent, surtout pour la navigation sur des sites non sûrs. Une telle décision peut, pourtant, réduire la fonctionnalité de sites qui exigent des caractéristiques spécifiques d'IE comme DHTML, VBScript et ActiveX. Notez que l'utilisation d'un navigateur Web différent ne retirera pas IE d'un système Windows et d'autres programmes peuvent invoquer IE, le WebBrowser ActiveX control ou le moteur de rendu HTML (MSHTML). »

Pourtant le risque sera grandement diminué. Il sera peut être nécessaire de recourir de temps en temps à IE pour utiliser un site ou un service exigeant ce navigateur (de tel site se raréfie d'années en années) à mesure que les navigateurs concurrents progressent en usage et en qualité. Justement Opera Software et la fondation Mozilla ont sorti en ce moi de juin de nouvelles versions de leurs navigateurs respectifs : les suites Internet Opera 7.51 et Mozilla 1.7 et le navigateur léger Mozilla Firefox 0.9. Non seulement votre sécurité est accrue mais ces navigateurs modernes changent votre expérience quotidienne du Web.