Correctif en vue chez Microsoft pour combler la faille ANI

Cloud

La propagation rapide des attaques qui exploitent la vulnérabilité Animated
Cursor Handling pousse Microsoft à distribuer rapidement son correctif.

La vulnérabilité Windows Animated Cursor Handling révélée vendredi 30 mars et qui touche la plate-forme Windows serait massivement exploitée. Selon l’éditeur de solutions de sécurité F-Secure, « le nombre d’attaques utilisant cette faille s¹est intensifié » durant le week-end.

Rappelons que la faille de sécurité, également intitulée « exploit ANI », du nom de l’extension des noms de fichiers d’animation du curseur de la souris, permet à un attaquant de prendre le contrôle à distance de l’ordinateur vulnérable. Si les premières tentatives d’attaques l’ont été à travers des pages web volontairement écrites pour exploiter la brèche de sécurité, notamment à travers Internet Explorer 6 et 7, un ver a commencé à se propager par e-mail depuis dimanche 1er avril 2007, selon F-Secure.

Informé depuis décembre 2006

Microsoft n’a pas encore livré de correctif. Mais l’urgence est telle que l’éditeur n’attendra pas le jour de publication de son bulletin mensuel (traditionnellement le deuxième mardi du mois) pour palier le problème. Dans le blog de l’équipe du centre de sécurité de Microsoft, Christopher Budd annonce que « nous programmons la publication du correctif pour le 3 avril 2007 ». Le blogueur prévient cependant que le patch est en cours de test et que selon les résultat, un retard dans sa publication n’est pas impossible.

A l’origine, le correctif devait être déployé le 10 avril prochain, jour de publication du bulletin mensuel. Mais « à cause du risque croissant des utilisateurs dues aux récentes attaques, nous sommes en mesure de lancer nos tests et nous assurer que la mise à jour sera massivement disponible plus tôt « . Microsoft dit être conscient de la vulnérabilité depuis décembre 2006. Pourquoi avoir attendu le dernier moment pour se préoccuper de la mise à jour? En attendant le correctif, les utilisateurs doivent rester vigilants et mettre à jour leur antivirus de façon à filtrer les fichiers .ANI qui arriveraient notamment par courriel.

Grum, encore un virus qui se fait passer pour Microsoft
Le code d’exploitation .ANI n’est pas la seule bête noire du moment de Microsoft. Depuis jeudi 29 mars 2007, un e-mail soit disant expédié par l’éditeur de Windows se fait passer pour une mise à jour d’Internet Explorer vers la version 7. Envoyé par « admin@microsoft.com », l’entête du message est  » Internet Explorer 7 Downloads » et le corps affiche une image dotée d’une charte graphique en tout point commune avec celle de Microsoft pour IE7. Mais le lien déclenche le téléchargement du ver W32/Grum-A, dit Grum. Selon la firme de sécurité Sophos, Grum modifie la base de registre de Windows et des fichiers systèmes (system.dll, ntdll.dll, kernel32.dll). Selon toute vraisemblance, Grum cache un keylogger, un enregistreur de ce qui est tapé au clavier. Ce n’est évidemment pas la première fois que des pirates se font passer pour Microsoft pour tenter de propager leurs agents malveillants. Il faut notamment savoir que Microsoft n’envoi jamais de courriel à ses utilisateurs et les invite à télécharger les nouveautés via les services de mise à jour habituel (Windows et Microsoft Update).