Sécurité: Windows victime d'attaques par fichiers DLL

Pour Microsoft, ces attaques sont inhérentes aux applications installées sur le système. Pas à Windows directement.

Windows est une nouvelle fois sous les feux d’une campagne d’attaques massives. Microsoft a en effet émis une alerte de sécurité, le 23 août, informant d’un risque d’exploitation des fichiers de librairie (extension DLL). « Ces pratiques pourraient permettre à un attaquant d’exécuter à distance du code arbitraire dans le contexte d’un utilisateur exécutant l’application vulnérable lorsque celui-ci ouvre un fichier à partir d’un emplacement à la confiance non approuvée », explique l’éditeur dans son alerte.

Le problème est inhérent au fonctionnement de Windows. La plupart des applications font appel aux fichiers de bibliothèque simplement en les chargeant par leur nom et non en indiquant leur chemin complet exact dans l’arborescence du système. Du coup, des petits malins se servent de ce vecteur pour inviter une victime potentielle à télécharger un fichier DLL infectieux qui portera le même nom que l’original mais servira avant tout au pirate de prendre le contrôle du PC affecté.

Microsoft s’est décidé à réagir suite à la publication de plusieurs rapports de chercheurs en sécurité. Notamment celui de HD More, responsable de la société Rapid7 et créateur de l’outil Metasploit d’exploitation de la vulnérabilité «DLL». La semaine dernière, le chercheur avait notamment annoncé avoir découvert 40 applications Windows vulnérables. Depuis, d’autres rapports ont rejoint celui de HD More allant pour certains jusqu’à dénombrer 200 applications vulnérables.

Pour Microsoft, le problème vient des applications, pas du système. Dans son billet du Microsoft Security Research Center, Christopher Budd indique que l’alerte de sécurité « est différent des autres Avis de sécurité Microsoft, car il ne parle pas de vulnérabilités spécifiques aux produits Microsoft ». Ce qui n’empêche pas l’éditeur de vérifier si ses propres produits sont affectés.

En attendant le résultat, Microsoft propose un outil qui interdit le chargement de DLL partagées en réseau. L’éditeur invite les responsables de sécurité intéressés à tester l’outil avant sa mise en œuvre. Toutes les explications (en anglais) sont disponibles sur cette page (en anglais) ou encore ici (en français). Dans tous les cas, il convient de vérifier l’intégrité de son système pour éviter de tomber dans le piège des DLL directement accessibles…