LNK: quand petite faille se fait grande menace

Découverte par l’éditeur Biélorusse VirusBlokAda mi-juin, la faille des liens Windows (.lnk) exploitée par le ver Stuxnet apparaît aujourd’hui sous un jour nouveau, après que Siemens a reconnu que celui-ci vise ses logiciels pour infrastructures industrielles automatisées, les Scada. Une menace particulièrement sérieuse, pour certains, alors que ces systèmes ne contiennent pas de données immédiatement monétisables telles que des numéros de cartes de crédit ou des secrets industriels. Et d’y voir un objectif simple : le sabotage.

L’éditeur biélorusse VirusBlokAda assure l’avoir découverte le 17 juin dernier : une faille affectant toutes les versions de Windows et permettant à un ver de s’installer sur un ordinateur à l’insertion d’une clé USB; sans passer l’exécution du très classique script autorun.inf, mais en s’appuyant sur les mécanismes de traitement des fichiers liens (.lnk). Une seule ouverture du périphérique infectée avec un explorateurs de fichiers susceptible d’afficher des icônes suffit à déclencher la propagation du ver. Et pas n’importe lequel.

Stuxnet, de son petit nom, installe deux pilotes : mrxnet.sys et mrxcls.sys. Tous deux embarquent des fonctions de rootkit pour masquer leurs activités au système d’exploitation. Surtout, ces deux pilotes empruntent la signature numérique de pilotes Realtek.  

Quelle diffusion ?

Selon les chercheurs de VirusBlokAda, le risque épidémique est important : «depuis que nous avons ajouté les nouvelles signatures aux bases de données anti-virales, nous recevons de nombreuses détections» des deux rootkits «dans le monde entier.»  

Selon Microsoft, l’infection serait particulièrement marquée en Iran, en Indonésie et en Inde, avec une croissance exponentielle du nombre de machines concernées, ainsi que du nombre d’attaques quotidiennes. Une analyse partagée par Symantec.

Mais si tant l’Institut Sans que le Cert US, ou encore le Certa français, ont décidé de publier une alerte au sujet de Stuxnet, ce n’est pas peut-être qu’une question de propagation - et de rapidité de propagation. Et tant pis si, dans l’attente d’un correctif, Microsoft propose déjà un palliatif - désactiver l’afficher des icônes pour les liens.

Les Scada en ligne de mire

En effet, le danger, ici, c’est que Stuxnet viserait spécifiquement les infrastructures industrielles automatisées, à savoir les fameux systèmes Scada utilisés pour le contrôle centralisé des réseaux de distribution électrique ou d’eau potable, par exemple. Selon l’analyste Frank Boldewin, Stuxnet cherche, à son installation, à vérifier la présence, sur la machine qu’il vient d’infecter, des outils Simatic WinCC de Siemens, les outils Scada de l’industriel. 

S’appuyant sur le mot de passe d’accès aux bases de données de l’outil - défini en dur dans le logiciel et largement diffusé sur Internet, comme l’ont relevé nos confrères de Wired -, Stuxnet dispose d’un accès complet aux données des infrastructures supervisées avec WinCC. Une action aussi ciblée constitue, en elle-même, une originalité méritant d’être soulignée.

Pour Frank Boldewin, «ce logiciel malveillant a été conçu pour faire de l’espionnage.» Pour Stewart Baker, ancien assistant du secrétaire du département américain de la sécurité intérieure, estime sans ambages que «le but logique de ce logiciel malveillant n’est pas tant l’espionnage que le sabotage.» 

En attendant que des correctifs soient trouvés et que la propagation de Stuxnet soit interrompue, Siemens recommande de ne surtout pas chercher à changer le mot de passe d’accès aux bases de données SQL de WinCC, faute de quoi l’outil risquerait de... ne plus fonctionner. Une situation qualifiée «d’horrible» par Sophos

Quid des bonnes pratiques ?

Selon nos confrères de CNIS, les bonnes pratiques de sécurité pour les systèmes Scada - consistant à isoler d’Internet les machines reliées à des systèmes de pilotage industriel ou encore à contrôler sévèrement l’accès et à leur interdire la connexion à des clés USB - seraient «généralement observées par les responsables de ce genre d’architecture», force est de constater que le suivi de ces pratiques de référence n’est pas absolu : Siemens aurait déjà identifié une victime parmi ses clients outre-Rhin.

En complément :

- Scada : le temps de la panique est-il venu ?

- A Davos, les dirigeants de la planète avertis contre les faiblesses des systèmes Scada

- Etats ciblés, course aux armements, raids cybernétiques : la cyberguerre a-t-elle déjà commencé ?

- Intrusion dans le réseau électrique américain : qui sont les responsables ?

- Piratage : la grille électrique américaine infiltrée par des pirates chinois et russes

- Tribune : des infrastructures industrielles de plus en plus vulnérables

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close