Une faille 0day découverte dans Word et combinée avec un rootkit

Par Xavier Poli, secuobs.com
Le 31/05/2006

---

Résumé : Un nouveau malware exploitant une faille non corrigée dans le traitement de texte Microsoft Word a fait son apparition. Il utilise également des fonctionnalités de type rootkit.



Un nouveau malware exploitant une faille non corrigée dans le traitement de texte Microsoft Word a fait son apparition. Il utilise également des fonctionnalités de type rootkit.

Les virus de type Macro, visant les applications bureautiques courantes comme Word, Excel ou encore Powerpoint, ont été la coqueluche des auteurs de codes malicieux il y a quelques années.

Bien que détroné notamment par les exploits visant les navigateurs internet, des malwares visant ces applications sont toujours en circulation.

Le virus dénommé Ginwui.A par les finlandais de F-Secure exploite une vulnérabilité dans Microsoft Word (versions XP et 2003). Précisons qu'il ne s'agit pas d'un virus basé sur une macro.

Une fois la faille exploitée, il exécute un shellcode qui va télécharger puis installer un cheval de troie doté de fonctionnalités de type rootkit lui permettant une certaine furtivité lui évitant elle même d'être détecté par un logiciel antivirus par exemple.

Les attaquants peuvent ensuite contrôler le système infecté. Le cheval de troie est hébergé sur un système vers lequel pointe une adresse de type xxx.3322.org.

Le service 3322.org est un service de re-direction DNS principalement utilisé en Chine. Le blocage de ce domaine peut donc être une solution temporaire pour éviter une infection par ce malware bien que de nombreux sites légitimes utilisent également ce système (toujours en Chine).

Ce malware se réplique par l'intermédiaire de messages électroniques contenant un fichier attaché au format « .doc ». Il est souvent plus sûr d'interdire l'ouverture de tels fichiers, notamment dans un environnement sensible.

Il est également possible d'utiliser des applications alternatives, comme OpenOffice ou encore Abiword.

Une autre solution pour éviter la survenue de ce type de problèmes est la création d'une SRP (Security Restriction Policy) dans Windows, pour l'application Word comme le propose Matthew Murphy sur son blog.

En effet, ce malware a besoin des droits administrateurs pour s'installer, et il est possible d'obliger Word à fonctionner avec les privilèges d'un utilisateur normal, même si la personne qui l'utilise est connectée en temps qu'administrateur.

Il semblerait que cette combinaison Rootkit-0day ait servi lors d'attaques ciblées visant plusieurs entreprises américaines dont les employés ont été abusés par des mails “spoofés” reprenant les adresses d'employés des sociétés concernées.

Il est donc recommandé d'être particulièrement attentif lors de l'ouverture de pièces jointes au format word, qui devra de préférence être faite en premier lieu avec un programme alternatif. Microsoft travaille à la mise au point d'un correctif pour ce problème.

Lien vers le script de Matthew Murphy: lien http externe url:[click]

Mini-Tagwall des articles publiés sur SecuObs :
sécurité, windows, exploit, réseau, vulnérabilité, système, attaque, microsoft, virus, audit, internet, données, fonction, présentation, outil, linux, bluetooth, vista, gestion, shell, trames, wishmaster, sysun, metasploit, engineering, paquets, téléphone, fonctions + de mots clés avec l'annuaire des articles publiés sur SecuObs

Archives Failles Secunia :
- SA32943 jailer updatejail Insecure Temporary Files - SA32794 Cain & Abel RDP Processing Buffer Overflow Vulnerability - SA32951 Slackware update for samba - SA32949 Debian update for imlib2 - SA32849 cpCommerce _functions.php Variable Overwrite Vulnerability + d'archives failles avec Secunia et SecuMail

Archives Mailing Full Disclosure :
- Re: Full-disclosure Security industry software license - Re: Full-disclosure Lazy bum approach to security - Re: Full-disclosure More proof that Microsoft products are probably backdoored - Re: Full-disclosure Security industry software license - Re: Full-disclosure Project Chroma: A color code for the state ofcyber security + d'archives Full Disclosure avec SecuMail

Archives Mailing Bugtraq :
- Dates for SyScan'09 - Cpanel fantastico Privilege Escalation ModSec and PHP restriction Bypass - SECURITY DSA 1676-1 New flamethrower packages fix denial of service - USN-682-1 libvorbis vulnerabilities - USN-681-1 ImageMagick vulnerability + d'archives Bugtraq avec SecuMail

Mini-Tagwall de l'annuaire video :
virus, spyware, vmware, firmware, biometric, lockpicking, wimax, password, spammer, kernel, malware, windows, iphone, symantec, phish, knoppix, adware, security, botnet, linux, tutorial, cryptography, internet, attack, server, wireshark, virtual, metasploit, intel, protect, openbsd, hitbsecconf2006, jailbreak, rootkit, ubuntu, norton, exploit, hijackthis, ettercap, samsung, screen, fingerprint, vista, flash, desktop + de mots clés avec l'annuaire des videos

Mini-Tagwall des articles de la revue de presse :
security, microsoft, windows, vulnérabilité, network, google, vulnerability, hacker, attack, inject, remote, mobile, server, exploit, apple, internet, iphone, black, yahoo, sécurité, malware, vista, intel, patch, crypt, drive, access, protect, virtual, laptop, linux, source, biometric, research, ebook, business, virus, office, phish, adobe, chine, facebook, opera, flash, wireless + de mots clés avec l'annuaire de la revue de presse