CERTA-2010-ALE-009

Vulnerability from certfr_alerte - Published: - Updated:

Un code malveillant exploitant une vulnérabilité dans Microsoft Windows permet à une personne distante malintentionnée d'exécuter du code arbitraire.

Description

Un code malveillant, généralement connu sous le nom de Stuxnet ou CplLnk, exploite activement une vulnérabilité de Microsoft Windows. Cette vulnérabilité réside dans la gestion des fichiers de raccourcis .lnk et permet l'exécution à distance de code arbitraire avec les droits de l'utilisateur connecté sur la machine.

Le code malveillant utilise les périphériques de stockage USB pour se propager.

Contournement provisoire

Microsoft a publié un contournement permettant de limiter l'exploitation de la vulnérabilité .lnk, voir l'alerte CERTA-2010-ALE-010.

En attendant la publication d'un correctif, le CERTA recommande les bonnes pratiques suivantes :

  • se connecter avec un compte utilisateur aux droits limités ;
  • maintenir à jour la solution antivirale ;
  • porter une attention toute particulière à la présence inattendue de fichiers .lnk.

Moyens de détection

Une fois installé et à la rédaction de ce document, le code malveillant effectue les opérations suivantes :

  • il crée les fichiers ci-dessous :
    • %SYSTEM%\system32\drivers\mrxcls.sys ;
    • %SYSTEM%\system32\drivers\mrxnet.sys ;
    • C:\Windows\inf\mdmcpq3.pnf ;
    • C:\Windows\inf\mdmeric3.pnf ;
    • C:\Windows\inf\oem6c.pnf ;
    • C:\Windows\inf\oem7a.pnf.
  • il crée également les clés de registre suivantes :
    • HKLM\SYSTEM\CurrentControlSet\Services\MRxCls ;
    • HKLM\SYSTEM\CurrentControlSet\Services\MRxNet.

De plus, il tente des connexions vers les domaines ci-dessous :

  • www.mypremierfutbol.com ;
  • www.todaysfutbol.com.

Solution

Se référer au bulletin de sécurité Microsoft pour l'obtention du correctif de la vulnérabilité (cf. section Documentation).

Microsoft Windows toutes versions.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eMicrosoft Windows toutes versions.\u003c/P\u003e",
  "closed_at": "2010-08-03",
  "content": "## Description\n\nUn code malveillant, g\u00e9n\u00e9ralement connu sous le nom de Stuxnet ou\nCplLnk, exploite activement une vuln\u00e9rabilit\u00e9 de Microsoft Windows.\nCette vuln\u00e9rabilit\u00e9 r\u00e9side dans la gestion des fichiers de raccourcis\n.lnk et permet l\u0027ex\u00e9cution \u00e0 distance de code arbitraire avec les droits\nde l\u0027utilisateur connect\u00e9 sur la machine.\n\nLe code malveillant utilise les p\u00e9riph\u00e9riques de stockage USB pour se\npropager.\n\n## Contournement provisoire\n\nMicrosoft a publi\u00e9 un contournement permettant de limiter l\u0027exploitation\nde la vuln\u00e9rabilit\u00e9 .lnk, voir l\u0027alerte CERTA-2010-ALE-010.\n\nEn attendant la publication d\u0027un correctif, le CERTA recommande les\nbonnes pratiques suivantes :\n\n-   se connecter avec un compte utilisateur aux droits limit\u00e9s ;\n-   maintenir \u00e0 jour la solution antivirale ;\n-   porter une attention toute particuli\u00e8re \u00e0 la pr\u00e9sence inattendue de\n    fichiers .lnk.\n\n## Moyens de d\u00e9tection\n\nUne fois install\u00e9 et \u00e0 la r\u00e9daction de ce document, le code malveillant\neffectue les op\u00e9rations suivantes :\n\n-   il cr\u00e9e les fichiers ci-dessous :\n    -   `%SYSTEM%\\system32\\drivers\\mrxcls.sys` ;\n    -   `%SYSTEM%\\system32\\drivers\\mrxnet.sys` ;\n    -   `C:\\Windows\\inf\\mdmcpq3.pnf` ;\n    -   `C:\\Windows\\inf\\mdmeric3.pnf` ;\n    -   `C:\\Windows\\inf\\oem6c.pnf` ;\n    -   `C:\\Windows\\inf\\oem7a.pnf`.\n-   il cr\u00e9e \u00e9galement les cl\u00e9s de registre suivantes :\n    -   `HKLM\\SYSTEM\\CurrentControlSet\\Services\\MRxCls` ;\n    -   `HKLM\\SYSTEM\\CurrentControlSet\\Services\\MRxNet`.\n\nDe plus, il tente des connexions vers les domaines ci-dessous :\n\n-   www.mypremierfutbol.com ;\n-   www.todaysfutbol.com.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 Microsoft pour l\u0027obtention du\ncorrectif de la vuln\u00e9rabilit\u00e9 (cf. section Documentation).\n",
  "cves": [],
  "links": [
    {
      "title": "Description du code malveilant Stuxnet par le Microsoft Malware Protection    Center :",
      "url": "http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=TrojanDropper%3aWin32%2fStuxnet.A"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS10-046 du 03 ao\u00fbt 2010 :",
      "url": "http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx"
    },
    {
      "title": "Description du code malveilant CplLnk par le Microsoft Malware Protection    Center :",
      "url": "http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Exploit%3aWin32%2fCplLnk.A"
    },
    {
      "title": "Alerte CERTA-2010-ALE-010 du 19 juillet 2010 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-010"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS10-046 du 03 ao\u00fbt 2010 :",
      "url": "http://www.microsoft.com/france/technet/security/Bulletin/MS10-046.mspx"
    },
    {
      "title": "Avis CERTA-2010-AVI-353 du 3 ao\u00fbt 2010 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-353"
    }
  ],
  "reference": "CERTA-2010-ALE-009",
  "revisions": [
    {
      "description": "correction dans les liens Microsoft ;",
      "revision_date": "2010-07-16T00:00:00.000000"
    },
    {
      "description": "modification des sections Contournement et Documentation ;",
      "revision_date": "2010-07-19T00:00:00.000000"
    },
    {
      "description": "ajout de la section Solution et ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Microsoft dans la section Documentation.",
      "revision_date": "2010-08-03T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Un code malveillant exploitant une vuln\u00e9rabilit\u00e9 dans Microsoft Windows\npermet \u00e0 une personne distante malintentionn\u00e9e d\u0027ex\u00e9cuter du code\narbitraire.\n",
  "title": "Exploitation par un code malveillant d\u0027une vuln\u00e9rabilit\u00e9 Microsoft Windows non corrig\u00e9e",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.