Objet: Exploitation par un code malveillant d'une vulnérabilité Microsoft Windows non corrigée

Résumé

Un code malveillant exploitant une vulnérabilité dans Microsoft Windows permet à une personne distante malintentionnée d'exécuter du code arbitraire.

Description

Un code malveillant, généralement connu sous le nom de Stuxnet ou CplLnk, exploite activement une vulnérabilité de Microsoft Windows. Cette vulnérabilité réside dans la gestion des fichiers de raccourcis .lnk et permet l'exécution à distance de code arbitraire avec les droits de l'utilisateur connecté sur la machine.

Le code malveillant utilise les périphériques de stockage USB pour se propager.

Contournement provisoire

Microsoft a publié un contournement permettant de limiter l'exploitation de la vulnérabilité .lnk, voir l'alerte CERTA-2010-ALE-010.

En attendant la publication d'un correctif, le CERTA recommande les bonnes pratiques suivantes :

• se connecter avec un compte utilisateur aux droits limités ;
• maintenir à jour la solution antivirale ;
• porter une attention toute particulière à la présence inattendue de fichiers .lnk.

Moyens de détection

Une fois installé et à la rédaction de ce document, le code malveillant effectue les opérations suivantes :

• il crée les fichiers ci-dessous :
  • %SYSTEM%\system32\drivers\mrxcls.sys ;
  • %SYSTEM%\system32\drivers\mrxnet.sys ;
  • C:\Windows\inf\mdmcpq3.pnf ;
  • C:\Windows\inf\mdmeric3.pnf ;
  • C:\Windows\inf\oem6c.pnf ;
  • C:\Windows\inf\oem7a.pnf.
• il crée également les clés de registre suivantes :
  • HKLM\SYSTEM\CurrentControlSet\Services\MRxCls ;
  • HKLM\SYSTEM\CurrentControlSet\Services\MRxNet.

De plus, il tente des connexions vers les domaines ci-dessous :

• www.mypremierfutbol.com ;
• www.todaysfutbol.com.

Solution

Se référer au bulletin de sécurité Microsoft pour l'obtention du correctif de la vulnérabilité (cf. section Documentation).