correctifs Hot Potato vulnérabilités uniques

Quand un raccourci Windows peut flinguer votre sécurité

Posted On 23 Déc 2016

Tag: faille, infiltration, phrozen, raccourci Windows

Un chercheur Français découvre comment il est possible de télécharger et exécuter n’importe quel fichier en utilisant un outil natif de Windows. Une porte ouverte pour des infiltrations malveillantes.

Notre ami Jean-Pierre LESUEUR, le fondateur de Phrozen software n’est plus à présenter. Ce chercheur en sécurité informatique, auteur de nombreux logiciels permettant de contrer pirates et codes malveillants vient de trouver une petite finesse dans l’ensemble des Windows, et cela à partir du SP2 de Windows XP qui risque de faire réagir rapidement le géant américain. Le problème est simple, à travers un raccourci Windows, il est possible de télécharger et exécuter n’importe quel fichier en utilisant un outil natif de Windows. « Du coup forcement, explique Jean-Pierre Lesueur, indétectable par les Antivirus actuels car un raccourci n’est pas directement un fichier exécutable« .

Seulement, cette première découverte a fait suite à une seconde 100 fois plus vicieuse encore. Réussir à injecter une application directement dans le raccourci, ainsi plus besoin de télécharger et exécuter le code malveillant. Bilan, les pare-feu ne risquent plus de bloquer la potentielle attaque. Bref, une nouvelle couche problématique.

Comment ça marche ?

Dans un premier temps (à l’aide d’un script python open source), l’application est convertie en tableau d’octets, pour l’inclure dans un script VBS (Visual Basic Script) qui va extraire ce même tableau vers un dossier temporaire pour pouvoir ensuite l’exécuter. La seconde tâche du script est de convertir ce script (multi lignes) en une seule et même ligne pouvant être interprétée en commande unique. Une fois la charge utile (payload) complètement créée, il suffit d’utiliser le second code (Delphi) pour injecter ce payload dans un raccourci Windows. Lors de l’exécution, le VBS sera exporté dans un fichier temporaire puis exécuté jusqu’au lancement de l’application malicieuse. « Etant donnée la nature du fichier, il est actuellement impossible de détecter de telles menaces sauf en se basant sur la taille du raccourci mais avec un fort risque de faux positifs, explique Jean-Pierre Lesueur. On pourrait aussi imaginer détecter les raccourcies qui ne sont pas utilisés pour faire de la redirection d’emplacement. Et laisser à l’utilisateur le choix de le garder ou non« .

Bref, une menace démoniaque d’autant plus qu’il faut savoir que grâce à « Powershell » il serait même possible de lancer directement en mémoire une application sans jamais être écrites sur le disque ce qui rendrait la menace d’autant plus sérieuse.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

L’essor des vols de cartes SIM d’ascenseurs et de bornes d’urgence : un fléau technologique exploité par les cybercriminels

Posted On 08 Oct 2024

, By Damien Bancal

One Comment

GEOFFRAY 24/12/2016 at 11:15 Reply

Merci pour l’info, cela m’a permis de comprendre comment j’ai eu le ransomware Locky…. je roule encore avec XP vers.3.
Joyeux Noël et Heureuse Année 2017. Merci pour toutes vos infos, excellent travail.
Cordialement, JOE.