Une vulnérabilité 0-Day qui touche tous les systèmes d’exploitation Windows est activement exploitée. La faille se trouve au niveau du shell Windows plus spécialement la manière dont Windows explorer gère les icônes des fichiers de raccourci .lnk.

.

Cette vulnérabilité peut être utilisée pour exécuter du code arbitraire sur les systèmes vulnérables notamment a l’aide clé USB , car il suffit de lister les fichiers d’un dossier pour être infecter , Selon Microsoft plus de 25 000 machines sont attaquées actuellement . La société russe AV VirusBlokAda a détecté l’attaque et a analysé l’échantillon des nouveaux logiciels malveillants et dit qu’il a surement été créer à des fins d’espionnage industrielle.

Vous pouvez tester le POC (preuve de concept de cette vulnérabilité) qui affiche tout simplement des messages dans les logs systèmes Windows :

1. Téléchargez DbgView
2. Téléchargez le POC
3. Décompressez les fichiers dans ‘C:\’.
4. Lancez DbgView .
5. Renommez ’suckme.lnk_’ en ’suckme.lnk’ afin qu’il soit lister par l’explorer Windows et constatez les résultats.

La solution de contournement consiste en une petite modification du registre. cependant, une fois la modification faite, vous ne verrez plus les icônes de vos raccourcis ce qui n’est pas si grave et reste préférable que de ne plus voir ses données.

1. Cliquez sur Démarrer, cliquez sur Exécuter, tapez Regedit, Puis OK
2. Cherchez la clé de registre : HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
3. Bouton droit sur la clé puis exporter (pour un futur backup )<
4. choisissez un nom de backup Icon_Backup.reg puis Enregistrer
5. Choisir la valeur (Default) dans la partie droite de la fenêtre du registre.
6. Double cliquez pour modifier la valeur de la clé.
7. Supprimez le contenu, puis cliquez sur Entrer.
8. une fois le patch sortie par Microsoft est appliqué vous prouvez exécuter Icon_Backup.reg pour restaurer l’affichage des icones des raccourcis.

L’annonce de Microsoft ne mentionne pas Windows XP SP2 et Windows 2000 comme étant touchés, car Microsoft vient d’arrêter la mise à jour des deux systèmes d’exploitation, mardi dernier. Cependant l’attaque fonctionne aussi sur ces deux systèmes et les attaquants ne manqueront pas de profiter de cette double faille de sécurité.

Auteur:Hamza Harouchi