Microsoft Access : une clé pour entrer dans votre PC ...
Par Fabien PERIGAUD, mardi 8 juillet 2008 à 15:16 :: General :: #248 :: rss
Microsoft a publié hier soir un bulletin de sécurité concernant une vulnérabilité dans un contrôle ActiveX installé avec son logiciel Access, en versions 2000, XP et 2003. Les cas de publications de bulletins de sécurité de la part de Microsoft en dehors du célèbre Patch Day se comptent sur les doigts de la main, et sont souvent la conséquence d'une vulnérabilité particulièrement critique et exploitée "dans la nature".
La criticité de celle-ci n'est pas extrême, puisqu'elle ne permet que de faire télécharger un fichier à une victime, vers un répertoire arbitraire, en l'ayant incité à visiter une page web malveillante par le biais d'Internet Explorer. Une interaction avec l'utilisateur est donc nécessaire, et l'exécution de code arbitraire n'est possible que si l'attaquant arrive à faire enregistrer un binaire malveillant dans le répertoire "Démarrage" de sa victime, dont le nom varie avec les langues du système d'exploitation. Toutefois, une exploitation "dans la nature" a été identifiée, visant à faire télécharger un malware vers le répertoire ''c:\Documents and Settings\All Users\Start Menu\Programs\Startup''.
La vulnérabilité elle-même 
(Réf. Lexsi 10360) est plutôt simple, et provient du contrôle ActiveX "Snapshot Viewer" installé avec les versions d'Access précitées. Il suffit d'instancier ce contrôle en affectant certaines valeurs à certaines variables, et le malware se retrouve sur le disque de l'utilisateur infortuné.
Le malware identifié dans l'attaque actuelle est un "dropper" pour une bibliothèque enregistrée en tant que BHO d'Internet Explorer, c'est à dire qu'elle sera chargée en même temps que le navigateur, et détournera certaines de ses fonctions internes afin d'apporter les modifications qu'elle souhaite aux données transitant entre l'utilisateur et son fureteur. Cela lui permet de voler de nombreuses informations sensibles, parmi lesquelles :
- les mots de passe tapés dans les champs de type "password",
- les mots de passe enregistrés dans Internet Explorer,
- les mécanismes d'authentification de plusieurs sites bancaires ou de commerce.
Dans l'attente d'un correctif de la part de Microsoft, les utilisateurs d'Access sont invités à désactiver le contrôle ActiveX vulnérable, par une modification de la base de registre.