Posts tagged APT

MS10-046 : Microsoft Windows Shell LNK Execution

Since the 19 July, the Rapid 7 Metasploit team has release an exploit module for Windows Shell LNK exploit MSA-2286198, aka CVE-2010-2568. Actually the exploitation of this vulnerability is not widely exploited, but the situation could change rapidly soon. As you surely know, SANS ISC has increase his threat warning level to yellow over this vulnerability.

We have successfully test the exploit on Windows XP Pro SP3 fully patched.

Here bellow a video we have done, to demonstrate how it is easy to exploit this vulnerability with Metasploit.

Windows 0Day “LNK” et un nouveau cas APT ?

VirusBlokAda, une société spécialisée dans les anti virus a rapporté le 17 Juin, que ses chercheurs en sécurité informatique avaient découverts un 0Day Windows, et un malware. Le 0Day Windows pourrait permettre d’infecter tous les systèmes Windows ayant le dernier niveau de mises à jour, tandis que le malware découvert serait un nouveau cas de “Advanced Persistant Threat” (APT).

A l’origine des investigations, le 0Day Windows ne s’exécutait que dans le cas de l’exploration d’une clé USB par le biais d’un explorateur, par exemple Windows Explorer ou Total Commander, du aux fonctionnalités “Autorun” ou “Autoplay” de Windows. La clé USB doit contenir, à sa racine, un raccourcis Windows forgé (extension .lnk) et dès que la clé USB est explorée l’exécution de ce raccourcis est effectuée automatiquement, permettant ainsi l’exécution de code malveillant.

Après des analyses supplémentaires de la part de ISC, il s’avère que le 0Day Windows “LNK” permet aussi de s’exécuter aussi de n’importe quel point de montage (disque dur, dossiers locaux, dossiers en réseaux ou dossiers WebDav).

Ci-dessous une vidéo, de Sophos, sur le 0Day Windows “LNK”.

Microsoft a réagit en émettant une alerte de sécurité (2286198) et est en cours d’investigation. Mais nous pouvons déjà savoir que l’exécution du 0Day s’effectue dans le contexte des droits de l’utilisateur Windows, donc si vous utilisé un utilisateur Windows ayant des droits administrateur, celui-ci s’exécutera avec les mêmes droits. Les simples utilisateurs auront beaucoup moins de chance de se faire impacter par cet exploit.

Nous vous conseillons donc, de ne pas utiliser votre système Windows avec des droits privilégiés, de désactiver les fonctionnalités “Autorun” et “Autoplay” de Windows, et aussi de désactiver l’option “icônes” sur les raccourcis Windows.

Au niveau du malware découvert, celui-ci tente d’installer deux drivers “mrxnet.sys” et “mrxcls.sys” signés numériquement par “Realtek Semiconductor Corp.“, une société connus dans le monde de l’informatique. Vu que ces deux drivers soient signés par un certificat d’une entreprise reconnue par Microsoft, permet l’installation de ces deux drivers sans aucune alerte. Le premier driver “mrxcls.sys” cache la présence de fichiers “.lnk” et le deuxième driver “mrxnet.sys” injecte des données encryptées supportant l’activité courante du malware.

Le fait que deux drivers contenu dans un malware, participant à une infection, soient signés par Realtek signifierait éventuellement aussi que la clé privée de RealTek a été compromise, et que celle-ci servirait éventuellement pour signer d’autres logiciels malveillants. Ou il se pourrait que les auteurs de ce malware aient simplement achetés un certificat au nom de RealTek pour signer leur logiciel. Par mesure de précaution, Microsoft et Verisign, en accord et avec le support de RealTek, ont révoqué le certificat suspect.

Frank Boldewin, un autre chercheur en sécurité informatique à eu l’occasion d’analyser le malware de façon plus détaillée, et celui-ci a remarqué que le malware ciblait particulièrement “WinCC Scada system“, un système utilisé dans les grandes industries (nucléaire, énergie, etc) et dans les organismes gouvernementaux. Ce malware serait donc utiliser pour effectuer de l’espionnage, un nouveau cas APT ? En tous cas Siemens a émis, lui aussi, une alerte à destination de ses clients utilisant le système Scada, ce qui confirmerait l’attaque ciblée et éventuellement persistante. Microsoft suspecte que le malware serait actif depuis au moins 1 mois, voir plus, ce qui rendrait la menace persistante.

Go to Top