Nouveaux vecteurs de codes malveillants

Cet article revient sur plusieurs failles et codes malveillants qui ont affecté certains produits Microsoft non suivis par le Cert-IST, ainsi que les systèmes mobiles de Microsoft (téléphones Windows Mobile). Ces menaces n’ont pas eu une ampleur suffisante pour justifier une publication de la part du Cert-IST (sous la forme d’avis par exemple), mais il nous a paru intéressant de leurs consacrer cet article car elles démontrent que n’importe quel programme/technologie peut être vecteur d’activités malicieuses.

 

1/ Logiciels Microsoft

Microsoft Visual Studio et Visual InterDev

"Visual Studio" est une suite de logiciels de Microsoft destinée au développement de logiciels.

"Visual InterDev" est un des logiciels de la suite "Visual Studio". Il fournit des outils pour le développement d'applications web s'appuyant sur des bases de données.

Une vulnérabilité a été découverte dans les produits "Microsoft Visual Studio 6.0" et "Microsoft Visual InterDev 6.0".

Cette vulnérabilité est due à un débordement mémoire lors du traitement des fichiers ".dbp" ("Visual Studio Database Project File") et ".sln" (Visual Studio Solution) contenant un champ "DataProject" spécifique. Elle permet à un fichier ".dbp" ou ".sln" spécifiquement formaté, d'exécuter des commandes arbitraires sur un système vulnérable avec les privilèges de la victime qui tente d'ouvrir ce fichier.

Au jour où nous publions cet article il n'existe pas de correctif pour cette vulnérabilité.

Il est donc fortement conseillé de n'ouvrir que des fichiers ".dbp" ou ".sln" venant de sources de confiance. 

Infopath

"Infopath" est un logiciel de la gamme "Office Systems" de Microsoft. Il permet de rassembler des informations, via des formulaires XML interactifs.

Les modèles de formulaires utilisés par l'outil sont contenus dans des fichiers XSN. Il s'agit en fait de fichiers CAB (archives de déploiement d'application) renommés contenant un schéma XML.

Plusieurs éditeurs d'anti-virus ont signalé la découverte du cheval de Troie "Icabdi" qui infecte les fichiers XSN (".xsn") des applications "Microsoft InfoPath 2003".

Lorsqu'il s'exécute "Icabdi" cherche les fichiers ".xsn" sur le poste qu'il infecte, afin de les modifier en y injectant des scripts malveillants.

Pour plus d’information :

Vulnérabilité "Visual Studio" :

• SecurityFocus : http://www.securityfocus.com/bid/16953/solution
• Secunia : http://secunia.com/advisories/19081
• Référence CVE : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1043 

Vulnérabilité "Infopath" :

• Article du SANS : http://www.incidents.org/diary.php?storyid=1166
• Avis de F-Secure : http://www.f-secure.com/v-descs/icabdi_a.shtml
• Avis de Symantec : http://www.symantec.com/avcenter/venc/data/w32.icabdi.a.html
• Avis de TrendMicro : http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FICABDI%2EA&VSect=P

  

2/ Systèmes mobiles

De plus en plus, les téléphones mobiles intègrent de nouvelles technologies, qui se trouvent être vecteurs de nouvelles menaces sur ces équipements. Ainsi, la fin du mois de février a vu paraître une certaine agitation autour des virus affectant les systèmes mobiles.

En effet, si de nouveaux codes malveillants affectant le système d’exploitation des téléphones Symbian (et la technologie "Bluetooth") sont régulièrement signalés, les "SmartPhones" Windows Mobile étaient pour l’instant relativement épargnés. Pourtant, deux "Proof-Of-Concept" visant ces téléphones ont été rapportés, sous les noms de "Redbrowser" et "Cxover". En toute fin de mois, un nouveau genre d’"application" (cheval de Troie) est parue, appelée "FlexiSpy", permettant d’espionner le détail des communications téléphoniques des téléphones Symbian.

Ainsi, même si ces menaces n’ont pas pris une ampleur significative, elles peuvent être révélatrices d’une nouvelle tendance.

 
"Redbrowser"

"Redbrowser" est une application Java pouvant infecter les téléphones mobiles supportant Java 2 Micro Edition (J2ME). Ce cheval de Troie se présente sous la forme d’un fichier "redbrowser.jar" qui peut par exemple être téléchargé depuis Internet. "Redbrowser" prétend fournir un navigateur pour sites WAP (sans nécessiter de connexion WAP), en utilisant uniquement des SMS, théoriquement gratuits. Ces messages SMS sont en réalité des numéros surtaxés, facturés entre 5 et 6 dollars…

"Redbrowser" est conçu pour les réseaux téléphoniques russes (SMS écrits en russe et appels surtaxés vers la Russie), ce qui limite largement son impact. Il reste que ce prototype démontre que les auteurs de codes malveillants sont en constante recherche de nouveautés et "RedBrowser" en est un exemple concret.

"Cxover"

"Cxover" est un ver de type "Proof-Of-Concept" écrit en langage MSIL (Microsoft Intermediate Language), affectant à la fois les systèmes Windows et les systèmes Windows Mobile utilisant Microsoft .NET.

Nota : Windows Mobile est un système d’exploitation (dérivé de Windows CE) fonctionnant aussi bien sur les "SmartPhones" que sur les "Pocket PC".

En environnement mobile, "Cxover" tente de détruire les fichiers et répertoires contenus dans le répertoire "Mes documents".

L'originalité de ce ver est qu'il se propage au moment où un téléphone "Windows Mobile" se connecte (via le protocole "ActiveSync") sur une station de travail "Windows". Il est en effet capable de s'exécuter sur ces deux environnements, et recherche en permanence de nouvelles connexions "ActiveSync" :

• s'il est présent sur un équipement mobile Windows  il infecte alors le PC Windows,
• s'il est présent sur un PC Windows, il infecte les équipements mobiles se connectant sur ce poste.

On remarque que les auteurs de "Cxover" se sont concentrés sur l’aspect portabilité du code malveillant, sans se servir des technologies "Java" ou "Bluetooth", d’habitude utilisées dans les codes malicieux visant les mobiles.

"FlexiSpy"

"FlexiSpy" se présente comme un logiciel de surveillance pour téléphones mobiles Symbian, permettant d’enregistrer le détail des communications et appels SMS passés sur le portable et d’envoyer ces informations vers un serveur de la société Vervata (éditeur de "FlexiSpy").

Outre des inquiétudes concernant le respect de la vie privée (les données se retrouvent stockées sur des serveurs "FlexiSpy"), l'éditeur F-Secure qualifie cette application de cheval de Troie; "FlexiSpy" étant quasiment invisible une fois installée sur un téléphone. Son interface n’est accessible que par la personne ayant installée l’application, via un code secret. F-Secure a en conséquence mis à jour son logiciel de sécurité pour téléphones mobiles afin de détecter ce cheval de Troie.

Pour l’instant, "FlexiSpy" n’est disponible que pour les téléphones Symbian, mais une version pour BlackBerry et Windows Mobile devrait voir le jour prochainement.

Pour plus d’information :

• "Redbrowser" :
• Article de Silicon : http://www.silicon.fr/articles/14060/Mobile-un-premier-virus-anti-Java-Oui-mais.html
• Document de Kaspersky : http://www.viruslist.com/en/viruses/encyclopedia?virusid=113394
• Document de F-Secure : http://www.f-secure.com/wireless/news/items/news_2006022800.shtml
• "Cxover" :
• Article de ZDNet : http://news.zdnet.com/2100-1009_22-6044457.html
• Document de Symantec : http://securityresponse.symantec.com/avcenter/venc/data/msil.cxover.a.html
• Document de F-Secure : http://www.f-secure.com/v-descs/cxover_a.shtml
• "FlexiSpy" :
• Article de ZDNet : http://news.zdnet.com/2100-1009_22-6055760.html
• Document de F-Secure : http://www.f-secure.com/v-descs/flexispy_a.shtml
• Weblog F-Secure : http://www.f-secure.com/weblog/archives/archive-032006.html#00000844