Attaques en DLL preloading : Office 2007, Firefox 3.6, iTunes seraient vulnérables
Sécurité - Selon la base Exploit-db.com, Live Mail, Windows Movie Maker, Microsoft PowerPoint 2010 ou encore Office 2007 seraient vulnérables au type d’attaque exploitant le système de DLL des applications Windows. iTunes, Firefox 3.6.8 ou uTorrent seraient aussi affectés.
Le 21 août, Microsoft a publié un bulletin d'alerte confirmant l'existence d'un risque de sécurité lié à la façon dont certaines applications sur Windows gèrent les DLL (dynamic-link library).
Des chercheurs ont en effet démontré qu'il était possible d'exécuter des attaques distantes (via un site Web ou un réseau partagé) contre des systèmes vulnérables en utilisant des techniques de type « DLL preloading » ou « binary planting ».
Un utilitaire pour tester la vulnérabilité des applications
Dans son bulletin, Microsoft expliquait auditer ses logiciels afin d'identifier ceux vulnérables. D'autres experts ont précédé l'éditeur et la base de données d'exploits Exploit-db.com comprend de multiples entrées relatives à la vulnérabilité d'applications Microsoft à des attaques en DLL preloading.
Seraient ainsi notamment exposés à des attaques les outils Windows Live Mail, Windows Movie Maker, Microsoft PowerPoint 2010 et Office 2007. Ce serait également le cas pour Windows Address Book sur Windows XP d'après un message posté sur la liste Full Disclosure. La firme de Redmond n'a pas encore confirmé l'information.
Toutefois comme le mentionnaient différents experts en sécurité, dont HD Moore, cette vulnérabilité des applications n'est pas propre à Microsoft (ni même à la plate-forme Windows). C'est pourquoi Firefox 3.6.8, Foxit Reader, Wireshark ou uTorrent figurent également sur Exploit-db.com.
Une correction qui ne pourra pas se faire qu'au niveau de chaque logiciel
HD Moore, qui a mis en ligne un utilitaire permettant de tester la vulnérabilité d'une application, comptabilisait initialement au moins 40 logiciels affectés. Selon Acros Security, qui avait identifié la vulnérabilité dans iTunes (corrigée depuis par Apple), ce nombre dépasse la centaine.
Avec la mise à disposition d'outils facilitant ces tests de vulnérabilité, la liste des logiciels concernés devrait naturellement s'allonger. Dans l'attente de correctifs (qui devront s'appliquer aux différentes applications et non à Windows), plusieurs mesures de sécurité provisoires sont proposées aux utilisateurs de l'OS.
HD Moore recommande une plus grande vigilance à l'égard des liens vers des sites Web ou des réseaux partagés envoyés par des expéditeurs non-identifiés. Outre un utilitaire bloquant l'accès à des DLL distantes, Microsoft propose de désactiver l'appel de librairies depuis WebDAV ou des réseaux partagés, la désactivation du service WebClient et le blocage des ports TCP 139 et 445.
/http%3A%2F%2Fblog.hametbenoit.info%2FLists%2FPosts%2FAttachments%2F443%2Fimage_thumb_6_7CE6C925.png)
/https%3A%2F%2Fassets.over-blog.com%2Ft%2Fcedistic%2Fcamera.png)