Le Cert-IST met en garde contre les mutations multiples des dernières attaques virales

Dans le Bulletin sécurité n°76 (Janvier 2004), le Cert-IST avait rendu compte de l'évolution des modes de propagation des Virus ("Les vers et leurs véritables origines" Depuis, le Cert-IST a relevé l'exploitation par les derniers virus, tels que "Bagle Q" et "Netsky P", des failles de sécurité.

Les dangereuses mutations des derniers Virus

Aujourd'hui, les dernières variantes des vers Bagle (Q) et Netsky (P), parce qu'elles utilisent une faille de sécurité et ne nécessitent même plus d'action de l'utilisateur final, mettent en lumière les liens aggravants entre gestion des vulnérabilités et propagation des virus.

Depuis Mydoom, les membres du Cert-IST ont détecte de façon régulière les variantes des vers "Bagle" et "Netsky". Ces variantes présentaient jusqu'ici des caractéristiques techniques en perpétuelle évolution, mais toujours basées sur la technique dite "d'ingénierie sociale" (le virus utilise un message qui par son titre, le contexte, ou la source émettrice, incite l'utilisateur à collaborer et ouvrir volontairement la pièce jointe).

Un pas supplémentaire avait été franchi en mars, lorsque la pièce jointe a commencé à être cryptée, le mot de passe étant fourni dans le texte du message, puis en image jointe, techniques qui mettaient en difficulté les filtres anti-virus des passerelles de messagerie.

Un dernier pas a été franchi fin mars, avec les variantes "Bagle Q" et "Netsky P", qui cette fois-ci ne nécessitent plus d'action volontaire de l'utilisateur, mais exploitent des vulnérabilités répertoriées (*) des logiciels web Microsoft les plus répandus Outlook et Internet Explorer.

Tableau : principales phases de la mutation du ver "Bagle"

(*) Ce type de comportement avait été rencontré par exemple avec les vers Nimda, Swen, Bugbear, et également le "célèbre" ver "Blaster" qui exploitait une vulnérabilité Windows.

L'exploitation des failles de sécurité

Le Cert-IST surveille simultanément les vulnérabilités identifiées dans les produits du marché, (IE, Outlook, Windows, Linux, produits réseaux, produits sécurité, en tout une liste de 400 produits), et la propagation des Virus.

L'actualité récente montre que cette stratégie est complémentaire de celle des éditeurs d'anti-virus, car permettant d'anticiper sur la potentielle exploitation automatique par un virus d'une vulnérabilité répertoriée :

Rappel des vulnérabilités et avis cités

* Ainsi, dans les processus du Cert-IST, certains Virus " secondaires " comme "Witty" ne doivent être suivis que comme une exploitation répertoriée d'une faille déjà suivie par ailleurs.

Bien que les correctifs de sécurité aient été publiés par l'éditeur, de nombreuses configurations peuvent ne pas avoir été mises à jour, et sont donc vulnérables, c'est-à-dire que la simple réception d'un message porteur du ver, sans ouverture consciente de pièce jointe, provoque l'infection du poste vulnérable.

Les efforts de veille et de prévention réalisés depuis l'été dernier par de nombreuses entreprises, ainsi que la réactivité des éditeurs d'antivirus, sont contrés en temps réel par les auteurs des virus "Bagle" et "Netsky", et laissent peser une menace permanente sur l‘activité des entreprises.

Le Cert-IST recommande de continuer à mettre à jour en temps réel les solutions de sécurité, de continuer la diffusion des préconisations de sécurité auprès des utilisateurs, mais également de s'assurer qu'elles sont à jour dans le déploiement de leurs correctifs de sécurité systèmes et logiciels.

Pour plus d'information :

Cette analyse et ces recommandations pressantes , en particulier pour la mise à jour des correctifs, ont été relayées dans la presse par Mag Securs et ZDNet.

http://www.mag-securs.com/article.php3?id_article=681

http://www.zdnet.fr/actualites/technologie/imprimer.htm?AT=39147325-39020809t-39000761c