L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Windows : exécution de code durant l'installation d'application

Synthèse de la vulnérabilité 

Un attaquant peut inviter la victime à télécharger des bibliothèques illicites sous Windows, afin d'exécuter du code lors de l'installation d'une application nécessitant ces DLL.
Systèmes impactés : 7-Zip, ZoneAlarm, FileZilla Server, GIMP, Chrome, Kaspersky AV, Windows 10, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows (plateforme) ~ non exhaustif, Windows RT, Windows Vista, Opera, Panda AV, Panda Internet Security, PuTTY, OfficeScan, TrueCrypt, VLC.
Gravité de cette alerte : 2/4.
Date de création : 11/01/2016.
Références de cette alerte : sk110055, VIGILANCE-VUL-18671.

Description de la vulnérabilité 

Lorsqu'un utilisateur installe une nouvelle application sous Windows, il télécharge le programme d'installation (install.exe par exemple), puis l'exécute.

Cependant, de nombreux programmes d'installation chargent des DLL (par exemple graphique.dll) depuis le répertoire courant. Ainsi, si un attaquant a invité la victime à télécharger un fichier graphique.dll malveillant, avant qu'il exécute install.exe depuis le répertoire Téléchargement, le code situé dans la DLL est exécuté.

Le bulletin VIGILANCE-VUL-19558 décrit le même problème pour d'autres produits.

Un attaquant peut donc inviter la victime à télécharger des bibliothèques illicites sous Windows, afin d'exécuter du code lors de l'installation d'une application nécessitant ces DLL.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette menace cybersécurité concerne les logiciels ou systèmes comme 7-Zip, ZoneAlarm, FileZilla Server, GIMP, Chrome, Kaspersky AV, Windows 10, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows (plateforme) ~ non exhaustif, Windows RT, Windows Vista, Opera, Panda AV, Panda Internet Security, PuTTY, OfficeScan, TrueCrypt, VLC.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin de menace informatique est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cette vulnérabilité cybersécurité.

Solutions pour cette menace 

Windows : contre-mesure pour installation d'application.
Une contre-mesure consiste à :
 - installer les programmes depuis un répertoire vide.
 - interdire l'exécution dans les répertoires Téléchargement, et Temp (NTFS ACL "D;OIIO;WP;;;WD").
 - appliquer la KB 2264107 (https://support.microsoft.com/en-us/kb/2264107), pour ne plus charger les DLL depuis le répertoire courant.
Les développeurs d'applications doivent utiliser SetDefaultDllDirectories() et SetDllDirectory().

7-Zip : version 16.03.
La version 16.03 est corrigée :
  https://sourceforge.net/p/sevenzip/discussion/45797/thread/b6a10dbd/

Check Point ZoneAlarm : version 14.1.048.
La version 14.1.048 est corrigée.

FileZilla Server : version 0.9.56.1.
La version 0.9.56.1 est corrigée :
  https://filezilla-project.org/download.php?type=server

Kaspersky : versions corrigées pour installation d'application.
Les versions corrigées sont indiquées dans les sources d'information.

TrueCrypt : patch pour installation d'application.
Un patch est indiqué dans les sources d'information.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un bulletin de vulnérabilités applicatives. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.