Bonjour,

Nouvelle exploitation pour la vulnérabilité WMF, toujours non colmatée officiellement à ce jour : « Ce n’était qu’une question de temps, indique déjà le site VirusList.com, le premier ver de messagerie instantanée exploitant la vulnérabilité WMF vient d’être découvert. » Le site en question, blog de l’éditeur Kaspersky Labs, affirme avoir reçu plusieurs alertes depuis les Pays-Bas pour un ver qui se propage sur MSN. Il utilise pour cela le lien http://[caché]/xmas-2006 FUNNY.jpg

Le lien en question est intégré dans une page HTML qui renvoie vers un fichier WMF malformé, d’ores et déjà nommé Exploit.Win32.IMG-WMF par Kaskersky. Au clic, ce fichier téléchargera et exécutera un fichier .VBS, le trojan Trojan-Downloader.VBS.Psyme.br, qui, à son tour, ouvrira une porte dérobée via le Backdoor.Win32.SdBot.gen. Cet opéra en quatre actes n’est pas fini puisque cette porte dérobée est programmée pour télécharger une variante de IM-Wom.Win32.Kelvir, Kelvir étant un ver sous MSN.

La vulnérabilité en question frappe aujourd'hui toutes les versions de Windows via l’interprétation et l’affichage des images de type WMF (Windows Meta File). Elle s’exploite directement par l’aperçu des images et des télécopies Windows qui gère mal certaines images WMF, malformées. Elle peut être exploitée directement via Internet Explorer, le courrier électronique, un site web piégé, etc. L’exemple typique en cette période étant les cartes de vœux. Pour Secunia, la faille en question est classée extrêmement critique.

De son côté, F-Secure indique qu’une campagne de spam abuse un peu plus de cet exploit : avec pour objet « Happy New Year », le mail en question indique simplement « picture of 2006 ». Il contient une utilisation de la faille WMF, via un fichier attaché nommé HappyNewYear.JPG. Lorsque l’image en question est lancée, elle exécute et ouvre un malware nommé Bifrose.

Microsoft à mis en ligne une page dédiée ici concernant cette faille.

Source: PC Inpact