Vendredi, Microsoft a publié un avis de sécurité au sujet d'une vulnérabilité déjà exploitée pour des attaques et présente au niveau du composant dénommé Windows Shell, à savoir la principale interface utilisateur graphique ( barre des tâches, menu Démarrer... ) du système d'exploitation Windows. Cette vulnérabilité affecte ainsi toutes les versions de Windows.

Notamment considérée comme hautement critique par Secunia, la vulnérabilité est due à une erreur dans Windows Shell lors du traitement de fichiers de raccourcis .lnk. Certains paramètres ne sont pas correctement validés pendant une tentative de chargement du raccourci d'une icône. Cela peut être exploité pour exécuter de manière automatique un programme via un raccourci spécialement conçu.

L'exploitation la plus plausible selon Microsoft, passe par l'insertion d'un média amovible comme une clé USB par exemple. Elle nécessite que l'utilisateur consulte le contenu de la clé USB avec un gestionnaire de fichiers à l'instar de Windows Explorer. Cette consultation est d'autant plus facilitée si l'exécution automatique à l'insertion d'un périphérique amovible est activée, ce qui n'est pas le cas par défaut avec Windows 7. Reste que la navigation manuelle dans le dossier racine du périphérique suffit à l'exploitation.

Une autre exploitation possible passe par les partages réseaux et WebDAV, mais c'est bel et bien l'exploitation par l'intermédiaire de disques USB infectés qui pour le moment génère le plus de rapports d'attaques. La charge utile a notamment été identifiée de la famille Stuxnet qui représente un ensemble de malware dont un cheval de Troie qui télécharge du code d'attaque, un rootkit qui cache les traces de l'attaque. Actuellement, des tentatives d'attaques sont essentiellement rapportées en Iran, Indonésie, Inde, Équateur et États-Unis.

La vulnérabilité a d'abord été mise au jour mi-juin par une petite société de sécurité biélorusse, VirusBlokAda. Plusieurs autres sociétés l'ont par la suite rapportée dont Sophos qui souligne que la composante rootkit permet de passer outre les mécanismes de prévention de Windows Vista et Windows 7 ( le contrôle de compte utilisateur étant cité ).

Dans son avis de sécurité, Microsoft donne quelques mesures de contournement dont la désactivation de l'affichage des icônes pour les raccourcis via une modification dans la base de registre. Le prochain Patch Tuesday est quant à lui programmé pour le mardi 10 août 2010. Rappelons au passage que le support pour Windows XP SP2 a pris fin. Pour Windows XP, le SP3 est donc indispensable afin de bénéficier de la prochaine mise à jour de sécurité.

En attendant ce correctif, le CERTA français ( Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques ) recommande de se connecter avec un compte utilisateur aux droits limités, maintenir à jour sa solution antivirale, porter une attention toute particulière à la présence inattendue de fichiers .lnk.