Une vulnérabilité 0-Day qui touche tous les systèmes d’exploitation Windows est activement exploitée. La faille se trouve au niveau du shell Windows plus spécialement la manière dont Windows explorer gère les icônes des fichiers de raccourci .lnk .
Cette vulnérabilité peut être utilisée pour exécuter du code arbitraire sur les systèmes vulnérables notamment a l’aide clé USB , car il suffit de lister les fichiers d’un dossier pour être infecter , Selon Microsoft plus de 25 000 machines sont attaquées actuellement . La société russe AV VirusBlokAda a détecté l’attaque et a analysé l’échantillon des nouveaux logiciels malveillants et dit qu’il a surement été créer à des fins d’espionnage industrielle .
Vous pouvez tester le POC (preuve de concept de cette vulnérabilité) qui affiche tout simplement des messages dans les logs systèmes Windows :
- Téléchargez DbgView
- Téléchargez le POC
- Décompressez les fichiers dans ‘C:\’.
- Lancez DbgView .
- Renommez ’suckme.lnk_’ en ’suckme.lnk’ afin qu’il soit lister par l’explorer Windows et constatez les résultats.
La solution de contournement consiste en une petite modification du registre. cependant, une fois la modification faite, vous ne verrez plus les icônes de vos raccourcis ce qui n’est pas si grave et reste préférable que de ne plus voir ses données 🙂 .
- Cliquez sur Démarrer, cliquez sur Exécuter, tapez Regedit, Puis OK
- Cherchez la clé de registre : HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
- Bouton droit sur la clé puis exporter (pour un futur backup )<
- choisissez un nom de backup Icon_Backup.reg puis Enregistrer
- Choisir la valeur (Default) dans la partie droite de la fenêtre du registre.
- Double cliquez pour modifier la valeur de la clé.
- Supprimez le contenu, puis cliquez sur Entrer.
- une fois le patch sortie par Microsoft est appliqué vous prouvez exécuter Icon_Backup.reg pour restaurer l’affichage des icones des raccourcis.
L’annonce de Microsoft ne mentionne pas Windows XP SP2 et Windows 2000 comme étant touchés, car Microsoft vient d’arrêter la mise à jour des deux systèmes d’exploitation, mardi dernier. Cependant l’attaque fonctionne aussi sur ces deux systèmes et les attaquants ne manqueront pas de profiter de cette double faille de sécurité.
Salut Si Hamza
pour ce qui est de cette faille j’ai essayé de la testé comme décrit sur les détails en haut mais, c’était pas possible car déjà la page pour télécharger le fichier RAR était bloquée par AVIRA PREMIUM et même après lever du blocage la décompression des fichiers dll et lnk_ donne toujours des alertes virus c’est pas grave de ne pas pouvoir le test je pense je suis déjà immunisé contre ce microbe
Merci mon ami c’est très intéressant de feuilleter ces pages de votre blog qui est si intéressant et très bénéfique
Merci a toi , il suffit de désactiver l’antivirus , puisque c’est un POC , rien a craindre 🙂
Merci Mr Hamza « l’admin » , special salut & recmerciements pour toutes vos efforts et ces interessants articles que tout le monde besoin de les connaitre.
Ismail Wz
Merci hamza pour l’info
moi aussi jai essayé de le télecharger mais hamdolah Mr Eset il a bien fait son travail xD