IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Windows Discussion :

Windows : le premier Rootkit ciblant les versions x64 découvert, il brise les défenses du noyau de l'OS


Sujet :

Windows

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    Juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : Juin 2010
    Messages : 1 374
    Points : 68 549
    Points
    68 549
    Par défaut Windows : le premier Rootkit ciblant les versions x64 découvert, il brise les défenses du noyau de l'OS
    Windows : le premier Rootkit ciblant les versions x64 découvert
    Il se répand sur le Web et brise les défenses du noyau de l'OS



    Une mise à jour du rootkit « Blue Screen of Death » qui a infecté des milliers de PC le mois de février passé, s'attaque désormais aux versions 64-bit de Windows.

    Ce rootkit rentrera dans l'histoire comme la première infection des Windows compatibles x64 ayant pu briser les défenses du Kernel et infecter le secteur de boot du disque dur.

    Cette mise à jour, désignée sous plusieurs appellations comme Alureon, TDL et Tidserv se répand déjà sur le Web à travers des sites pornographiques et des Kits d'exploits, nous apprends Marco Giuliani, un chercheur en sécurité au sein de Prevx, l'éditeur d'antivirus Anglais qui a découvert cette faille.

    Le nouvel exploit a réussi tout de même à franchir deux barrières importantes que Microsoft avait mises en place dans les versions 64bits de Windows.

    La première barrière est le « Kernel Mode Code Signing », qui exige que les logiciels et drivers soient signés numériquement avant de les autoriser à s'exécuter en mode-kernel.

    La deuxième, connu sous le nom de « Kernel Patch Protection » ou « PatchGuard » protège le code et les structures critiques du noyau de Windows contre la modification par du code ou des données inconnues.

    « Pour réussir cet exploit, le rootkit modifie le secteur d'amorçage du disque dur principal (MBR), ce qui lui permet d'intercepter les routines de démarrage de Windows, se les approprier et charger ses propres drivers », explique Giuliani.

    Les rootkits de ce type seraient quasiment indétectables par le système d'exploitation et les anti-virus.

    Les chercheurs de Symantec, qui ont à leur tour confirmé l'exploit, précisent que les composants principaux de Tidserv sont stockés sous forme chiffrée dans un espace vide à la fin du disque dur, ce qui rend plus difficile leur détection et leur suppression une fois l'ordinateur infecté.

    La première version de ce rootkit a causé de sérieux dommages plus tôt cette année. La mise à jour de sécurité publié par Microsoft avait à l'époque provoqué le crache de certaines machines sous Windows 32-bit.

    Une accusation portée par PrevX, déjà, et démentie par Microsoft

    Cette exploit démystifie la sécurité des systèmes 64-bits ?

    Il rappelle en tout cas qu'aucune technologie n'est à l'abri des attaques.

    Sources : Blog de PrevX et celui de Symantec

    Lire aussi :

    Windows : des attaques pourraient exploiter les DLL, Microsoft sort un outil en urgence et Rapid7 un Kit pour tester vos applications

    Microsoft colmate la faille mise à jour par l'ingénieur de Google, le patch mensuel de demain mettra-t-il fin à la polémique ?

    Un groupe de chercheurs anonymes attaque Microsoft en dévoilant une vulnérabilité de Windows pour se venger de sa campagne anti-Ormandy

    Les rubriques (actu, forums, tutos) de Développez :

    Sécurité
    Windows
    Systèmes

    Et vous ?

    Cette découverte change-t-elle votre vision de la sécurité des OS 64bits ?



    En collaboration avec Gordon Fowler

  2. #2
    Membre régulier
    Profil pro
    Inscrit en
    Juillet 2010
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2010
    Messages : 41
    Points : 79
    Points
    79
    Par défaut
    Cette découverte change-t-elle votre vision de la sécurité des OS 64bits ?
    Bof, ce n'est surtout qu'une question de temps...

  3. #3
    Membre averti
    Profil pro
    Inscrit en
    Décembre 2002
    Messages
    246
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Décembre 2002
    Messages : 246
    Points : 325
    Points
    325
    Par défaut
    Que l'OS soit 32, 64 voir 128 ou 256 bits, Windows, Mac, Unix ou Linux, il y aura toujours des failles quelles qu'elles soient.

    Un système sans failles n'existera jamais. Il faut faire avec et c'est tout.
    Ce qu'il faut surtout c'est éduquer les utilisteurs et leur apprendre à ne pas cliquer ou installer sur tout et n'importe quoi.

  4. #4
    En attente de confirmation mail
    Profil pro
    Inscrit en
    Mars 2010
    Messages
    222
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2010
    Messages : 222
    Points : 401
    Points
    401
    Par défaut
    je pense pas que beaucoup de personne se soit orienté vers le 64bits pour question de sécurité ...

  5. #5
    Membre à l'essai
    Profil pro
    Étudiant
    Inscrit en
    Août 2009
    Messages
    13
    Détails du profil
    Informations personnelles :
    Âge : 34
    Localisation : France, Vienne (Poitou Charente)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Août 2009
    Messages : 13
    Points : 20
    Points
    20
    Par défaut
    Pour réussir cet exploit, le rootkit modifie le secteur d'amorçage du disque dur principal (MBR)
    Est-ce qu'il le formate ou est-ce qu'il le modifie ? Parce que ça serait marrant de voir l'impact de ce rootkit sur grub pour les utilisateurs ayant un dual-boot ...

  6. #6
    Membre averti
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    162
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2009
    Messages : 162
    Points : 301
    Points
    301
    Par défaut
    Surtout, moi ce qui me fait marrer c'est quand j'entends des gens me dire : moi ça fait des années que j'ai pas eu de virus!
    Si ça se trouve ils ont des rootkit depuis des années sur leur disque, et ils ne s'en rendent pas compte.

Discussions similaires

  1. Réponses: 11
    Dernier message: 21/11/2014, 19h50
  2. Réponses: 4
    Dernier message: 19/05/2011, 21h15
  3. Réponses: 5
    Dernier message: 01/09/2010, 10h13
  4. Réponses: 5
    Dernier message: 24/03/2010, 06h09
  5. Les versions 64-bits de Windows plus sûres que les 32-bits ?
    Par Gordon Fowler dans le forum Actualités
    Réponses: 9
    Dernier message: 23/11/2009, 21h45

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo