Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01men
01net Pro Entreprise informatique
Logiciel
Matériel
FAI
Sécurité
Médias
Droit et conso
Techno
Société
Vu sur le Web
Business
Chat
Actualités  >  Sécurité

Duqu : Microsoft propose un premier correctif

La firme de Redmond a publié un bulletin de sécurité concernant le virus Duqu et propose un correctif d’urgence.

01net
le 04/11/11 à 12h00
laisser un avis

Mise à jour du 4 novembre 2011

Microsoft n’a pas tardé à réagir après la découverte d’une faille jusqu’alors méconnue du noyau Windows... et vient de publier un correctif rapide par le biais d’un patch à télécharger. Il actualisera ce patch sécurité dans prochaine mise à jour de Windows.

Attention cependant avant de l’appliquer : une fois mise en place, cette rustine stoppe l’accès aux polices True Type intégrées à Windows et provoque des soucis dès que vous utilisez une application y ayant recours !

L’éditeur donne par ailleurs quelques détails sur la façon dont Duqu s’attaque au kernel Windows dans un bulletin de sécurité. La vulnérabilité est bien liée à l’affichage des polices dans Windows. Et elle est plutôt sérieuse : « Un attaquant qui l'exploite avec succès pourrait faire exécuter du code en mode kernel. Il pourrait alors installer des programmes, voir, changer ou effacer des données ou encore créer de nouveaux comptes avec tous les droits utilisateurs. » Microsoft estime toutefois que « l’impact sur nos clients est minime pour le moment ».

Première publication le 2 novembre 2011
Duqu infecte Windows en exploitant une faille zero-day
Un mystérieux virus a infecté une machine par une faille du noyau Windows préalablement inconnue. Duqu, que l'on considère comme un héritier de Stuxnet, a frappé quelques organisations dans le monde.
Décidément, Duqu étonne. Ce code malveillant, que Symantec qualifie de « précurseur au prochain Stuxnet » interroge les experts en sécurité depuis qu'il a été découvert. Et pour cause : particulièrement sophistiqué, il partage une partie de son code avec Stuxnet et semble n’infecter que des organisations précises, que Symantec estime à six dans huit pays différents. Pour l’instant…
On ne savait même pas, jusqu’alors, comment Duqu parvenait à infecter une machine. Mais les chercheurs en sécurité du laboratoire Crysys (université de Budapest) ont retrouvé la trace d’un « dropper » (1) qui a servi pour au moins une attaque. Et surprise, il exploite une faille du noyau de Windows jusqu’alors inconnue, contre laquelle il n’existe donc aucun correctif (zero-day). Le virus est caché dans un document Word (.doc) « conçu de manière à cibler l’organisation qui le réceptionne », selon Symantec.
Le script du programme était également précis. Duqu ne pouvait être installé que pendant huit jours, au cours du mois d’août. L’éditeur de solutions de sécurité précise que Microsoft a été contacté à la suite de cette découverte et qu'il s’apprête à diffuser un bulletin de sécurité, ainsi qu’un correctif.
(1) Programme très léger chargé d’introduire le reste d’un virus sur une machine.
envoyer
par mail
imprimer
l'article
3 AVIS SUR CET ARTICLE
Répondre
 

Avis sur «Duqu : Microsoft propose un premier correctif »

 

DuQu ?

de Mildouze , posté le 04 novembre 2011 à 16h58
Ca pue...
alerter le modérateur

Le correctif microsoft

de trefg156 , posté le 04 novembre 2011 à 17h49
se nomme : TALC
alerter le modérateur

 

Windows, oui mais?

de MonsDeluC , posté le 07 novembre 2011 à 03h09
Windows a un problème pour ce virus
Le noyeau de Windows est infecté
Windows
Windows

Oui, mais ça concerne quel Windows??? de XP à 7??? Car je ne pense pas que le noyau de 7 soit le même qu'XP (et encore heureux)
alerter le modérateur

Tous

de Tigzy , posté le 07 novembre 2011 à 09h48
Le fonctionnement du ver est expliqué ici :
http://www.symantec.com/connect/w32-duqu_status-updates_installer-zero-day-ex(...)

En gros la Zero day utilisée est basée sur une faille de la police TrueType présente dans chaque version du noyau windows:
http://technet.microsoft.com/en-us/security/advisory/2639658

Cette faille permet d'exécuter du code en mode noyau, ce qui est parfait pour charger un driver en mémoire.
Une fois le driver chargé, ce dernier accès a TOUT, et c'est gagné pour lui.ça marche même sur les x64 qui sont censés être protégés par PatchGuard
alerter le modérateur

   
 
à lire aussi
SUR LES MÊMES THÈMES
Duqu infecte Windows en exploitant une faille zero-day
Un langage de développement open source destiné à la sécurité réseau
L'idée du jour : les Captcha remplacés par des micro-jeux
La météo sécurité de la semaine
Apple est en retard de dix ans sur Microsoft en matière de sécurité
55 000 mots de passe volés : Twitter réagit
La météo sécurité du 07 mai 2012
Quatre méthodes pour éprouver le respect des règles de sécurité en entreprise
Prévenir les fuites de données
La météo sécurité du 30 avril 2012
Les disques durs d’occasion sont (toujours) des mines d'or d’informations
BT se soucie de la sécurité des accès au SI de l'entreprise
La météo sécurité du 23 avril 2012
Comment sensibiliser les salariés à la sécurité informatique
Vers du quadruple cœur dans toutes les tablettes ?
Protégez votre messagerie Yahoo! contre le phishing
"Stuxnet ? C’est moi qui l’ai fait !"
La météo sécurité du 16 avril 2012
Mac OS : un correctif officiel pour éradiquer Flashback
Nous contacter | Charte de confiance | Mentions légales et CGU | Conditions d'abonnement | 01net. recrute
01net. - 01men - RMC - RMC Sport - BFM BUSINESS - BFMTV - Association RMC-BFM