Le ver Morto s’attaque aux mots de passe faibles de Windows

Christophe Lagane,

Le ver Morto s’appuie sur le protocole RDP de Windows pour pénétrer les systèmes des entreprises et particuliers. Sa méthode? Se connecter avec un mot de passe faible. Et ça marche!

Les chercheurs en sécurité mettent en garde contre une nouvelle menace informatique : le ver Morto. Classé dans un niveau d’alerte « sévère » (donc loin d’être « critique ») par Microsoft, Win32/Morto.A a la particularité de tenter de s’introduire dans les systèmes Windows simplement en exploitant les mots de passe dits « faibles » (noms communs, prénoms, suite de nombres, etc., on retrouvera la liste du dictionnaire de Morto sur la fiche que lui consacre l’éditeur).

Pour mener ses attaques, Morto s’appuie sur RDP (Remote Desktop Protocol), le protocole de Microsoft pour se connecter d’un poste de travail à un autre depuis l’outil Remote Desktop Connection (RDC). Le protocole est utilisé sur toutes les versions de Windows, y compris Server, depuis XP. L’exploitation de RDP serait une première, selon F-Secure. Une fois la machine infecté, Morto scanne le réseau local pour vérifier la présence d’autres machines sous RDC ouvert. Ce qui génère un trafic important sur le port TCP 3389.

Une fois introduit, Morto se réplique sur les disques locaux du serveur, copie des fichiers (notamment sens32.dll et cache.txt) téléchargés depuis un serveur distant. Il s’arrange ensuite pour désactiver les applications de sécurité de la machine ou rester invisible à leurs yeux. Contrôlable à distance, on imagine ce que ces créateurs (ou commanditaires) peuvent faire une fois en place sur les PC d’un réseau informatique.

Microsoft rappelle que « ce malware n’exploite pas une vulnérabilité de Remote Desktop Protocol, mais repose plutôt sur des mots de passe faibles ». Autrement dit, aucun correctif de sécurité n’est à attendre. De plus, la propagation du ver « continue de rester assez faible » en comparaison à un Sality ou IRCbot. Il n’empêche que sa propagation a gagné 87 pays et que Windows XP est le principal système attaqué même si les autres versions de l’OS ne sont pas épargnées, selon Microsoft. Pour prévenir ce type d’intrusion, l’éditeur rappelle qu’un mot de passe fort est indispensable et doit utiliser lettres, chiffres et ponctuation et d’une longueur de 14 caractères au moins. Dans l’idéal.

Tous les systèmes Windows sont concernés par l'attaque de Morto.