Virus Comme c'est rarement le cas, Microsoft avait fait exception notable à son traditionnel Patch Tuesday pour publier en urgence à la fin du mois d'octobre, un correctif de sécurité présenté dans un bulletin MS08-67. Ce dernier avait donné l'alerte au sujet d'une vulnérabilité affectant Windows à des degrés de dangerosité divers (moins critique sous Vista) et relative à un problème au niveau du service Serveur utilisé pour connecter différentes ressources réseau.

Dans ce bulletin, on pouvait notamment lire : " Sur les systèmes Windows 2000, XP et Server 2003, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sans nécessiter d'authentification. Il serait possible d'utiliser cette vulnérabilité dans la création d'un ver ". Et le ver fut.

Le centre de protection contre les malwares de Microsoft a en effet indiqué mardi que plusieurs rapports d'infection étaient remontés à ses oreilles, émanant de divers pays parmi lesquels les USA (majoritairement) mais aussi l'Allemagne, l'Argentine, le Brésil, le Canada, le Chili, la Chine, l'Espagne, l'Italie, le Japaon, le Mexique, Taïwan, la Turquie et... la France.


Un ver Windows égoïste se propage
Baptisé Win32/Conficker.A par Microsoft, le malware se propage principalement dans les réseaux d'entreprise mais quelques centaines de cas ont déjà été signalés sur des réseaux domestiques. Ce ver ouvre un port de communication aléatoire (entre 1024 et 10000) et agit comme un serveur Web. " Il se propage sur des machines du réseau en exploitant la vulnérabilité Windows. Une fois l'ordinateur distant exploité, cet ordinateur va télécharger une copie du ver via HTTP en utilisant le port aléatoire ouvert par le ver ", indique Microsoft.

Particularité notable de Conficker, une fois qu'il a effectué ses basses oeuvres, il prend la peine de combler le trou de sécurité qu'il a exploité, ce afin d'éviter que d'autres attaques, dès lors concurrentes, ne l'exploitent à leur tour. Il est comme ça Conficker, n'aimant pas partager les ressources chèrement acquises. Autre spécificité qui laisse supposer l'origine des attaques, Conficker évite soigneusement les réseaux ukrainiens.

Ce n'est donc pas pour rien que Microsoft a publié son correctif en urgence, et ceux qui l'ont appliqué peuvent rester sereins, du moins pour la menace incarnée par Conficker. A noter aussi que plusieurs bots exploitent également la vulnérabilité pour véhiculer un cheval de Troie de type backdoor qui se connecte à un serveur IRC pour recevoir des commandes.