correctifs Hot Potato vulnérabilités uniques

Quand un raccourci Windows peut flinguer votre sécurité

Un chercheur Français découvre comment il est possible de télécharger et exécuter n’importe quel fichier en utilisant un outil natif de Windows. Une porte ouverte pour des infiltrations malveillantes.

Notre ami Jean-Pierre LESUEUR, le fondateur de Phrozen software n’est plus à présenter. Ce chercheur en sécurité informatique, auteur de nombreux logiciels permettant de contrer pirates et codes malveillants vient de trouver une petite finesse dans l’ensemble des Windows, et cela à partir du SP2 de Windows XP qui risque de faire réagir rapidement le géant américain. Le problème est simple, à travers un raccourci Windows, il est possible de télécharger et exécuter n’importe quel fichier en utilisant un outil natif de Windows. « Du coup forcement, explique Jean-Pierre Lesueur, indétectable par les Antivirus actuels car un raccourci n’est pas directement un fichier exécutable« .

Seulement, cette première découverte a fait suite à une seconde 100 fois plus vicieuse encore. Réussir à injecter une application directement dans le raccourci, ainsi plus besoin de télécharger et exécuter le code malveillant. Bilan, les pare-feu ne risquent plus de bloquer la potentielle attaque. Bref, une nouvelle couche problématique.

Comment ça marche ?

Dans un premier temps (à l’aide d’un script python open source), l’application est convertie en tableau d’octets, pour l’inclure dans un script VBS (Visual Basic Script) qui va extraire ce même tableau vers un dossier temporaire pour pouvoir ensuite l’exécuter. La seconde tâche du script est de convertir ce script (multi lignes) en une seule et même ligne pouvant être interprétée en commande unique. Une fois la charge utile (payload) complètement créée, il suffit d’utiliser le second code (Delphi) pour injecter ce payload dans un raccourci Windows. Lors de l’exécution, le VBS sera exporté dans un fichier temporaire puis exécuté jusqu’au lancement de l’application malicieuse. « Etant donnée la nature du fichier, il est actuellement impossible de détecter de telles menaces sauf en se basant sur la taille du raccourci mais avec un fort risque de faux positifs, explique Jean-Pierre Lesueur. On pourrait aussi imaginer détecter les raccourcies qui ne sont pas utilisés pour faire de la redirection d’emplacement. Et laisser à l’utilisateur le choix de le garder ou non« .

Bref, une menace démoniaque d’autant plus qu’il faut savoir que grâce à « Powershell » il serait même possible de lancer directement en mémoire une application sans jamais être écrites sur le disque ce qui rendrait la menace d’autant plus sérieuse.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. GEOFFRAY Reply

    Merci pour l’info, cela m’a permis de comprendre comment j’ai eu le ransomware Locky…. je roule encore avec XP vers.3.
    Joyeux Noël et Heureuse Année 2017. Merci pour toutes vos infos, excellent travail.
    Cordialement, JOE.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.