Les mises à jour de Windows détournées par des pirates

Publié le par jerome Simonnet

Les attaques ont beau être de plus en plus sophistiquées, l'email reste toujours une méthode efficace pour infecter un PC et prendre son contrôle. A cause d'un virus lié à un courrier électronique, des pirates ont ainsi pu leurrer les pare-feux de PC connectés en faisant passer des contenus illicites par le système de mises à jour de Windows.

Sur son blog officiel, Elia Florio, ingénieur de sécurité de chez Symantec, indique en effet que le composant BITS (Background Intelligent Transfer Service) de Windows a été exploité pour autoriser le téléchargement de fichiers malveillants.

Présent depuis Windows 2000, le BITS permet d'effectuer des requêtes HTTP et HTTPS vers des sites distants à partir et depuis un PC (sous Windows XP SP2 et Windows 2003). Il est utilisé notamment par Windows Update pour le téléchargement des mises à jour.

Cette nouvelle piste de piratage est originale. « Elle permet de contourner les pare-feux locaux, étant donné que le téléchargement est effectué par Windows lui-même », explique Elia Florio. Selon Nicolas Ruff, expert en sécurité au Centre de recherche d'EADS (European Aeronautic Defense and Space), « c'est astucieux car le service BITS doit être autorisé à sortir sur les ports 80 et 443 pour que les mises à jour automatiques fonctionnent en tâche de fond. Or, l'utilisation de ce service ne génère aucune activité anormale sur le système ». En clair, le pare-feu n'y voit que du feu et laisse passer les codes malveillants.

Pour que cette attaque marche, il faut que l'ordinateur soit au préalable infecté par un cheval de Troie. Appelé « Downloader Trojan », il se propage sur la toile avec des spams diffusés en Allemagne fin mars. Une fois installé sur le poste de travail, il peut télécharger de façon furtive, via BITS, des composants supplémentaires pour récupérer des données personnelles ou utiliser la machine infectée comme relais pour du spam.

Cette attaque confirme que les protections logicielles, dans le cas présent les pare-feux, ne peuvent prétendre à une surveillance infaillible. Il est donc important de mettre à jour en permanence son antivirus et de surveiller le journal d'activité des flux. « Ces flux restent néanmoins contrôlables en amont par n'importe quel pare-feu de périmètre », précise Renaud Feil d'HSC.


Publié dans infos

Pour être informé des derniers articles, inscrivez vous :
Vous aimerez aussi :
Antitrust : Google et Microsoft s'affrontent devant le Sénat américain
Antitrust : Google et Microsoft s'affrontent devant le Sénat américain
Google connaît sa première évolution majeure en neuf ans
Google connaît sa première évolution majeure en neuf ans
Wikipédia trafiquée pour donner raison à Nicolas Sarkozy
Wikipédia trafiquée pour donner raison à Nicolas Sarkozy
Les responsables d'e-Tabac.com condamnés par la justice
Les responsables d'e-Tabac.com condamnés par la justice
L'antivirus de Microsoft recalé par des experts en sécurité
ARCHOS Lecteur multimédia 704 WiFi 160 Go
Commenter cet article