Depuis plusieurs jours circule, principalement via le Web, une attaque de type « zero day » connue sous l’appellation Microsoft ANI.
A l’heure où nous diffusons cette alerte, des centaines d’URL hébergent les codes malveillants associés et leur nombre augmente d’heure en heure. La plupart des URL infectées se situent en Chine, suivie par la Corée et les Etats-Unis.
Les utilisateurs de systèmes vulnérables qui se rendent sur ces sites sont immédiatement contaminés à leur insu. En outre, des messages e-mail contenant des URL malveillantes liées à cette attaque ont également été repérés. Il s’agit d’un exemple classique de « menace mixte », combinant des vecteurs de diffusion Web et e-mail au sein d’une seule et même attaque parfaitement coordonnée. La gravité du problème est telle que Microsoft diffuse un correctif « hors-série » (qui n’était pas planifié) depuis le mardi 3 avril pour remédier à cette vulnérabilité.
Les utilisateurs des appliances IronPort S-Series sont protégés contre cette attaque. Grâce à une combinaison de filtres de réputation Web, de filtres anti-malware à base de signatures, de moniteur de trafic et de filtrage de contenu Web, les appliances IronPort S-Series bloquent l’accès aux URL malveillantes et aux chevaux de Troie qu’elles hébergent.
Dans le cadre de l’exploitation de cette faille, le vecteur de contenu malveillant est un exécutable (.exe). Une protection supplémentaire est assurée par le blocage « par type réel » d’objets au sein de l’appliance S-Series. Même si le type de l’objet infecté peut être contrefait (par exemple un exécutable camouflé en un .doc), le boîtier Série S d’IronPort va bloquer ce .doc en reconnaissant sa nature d’exécutable. Le blocage se fait donc par type réel de fichier et non pas par type affiché dans l’extension du fichier. Les administrateurs peuvent ainsi tranquillement configurer leurs règles d’accès Web de façon à bloquer le téléchargement de fichiers exécutables.
L’équipe du centre d’identification de menaces d’IronPort surveille de près cette attaque et publiera des règles actualisées à mesure que de nouvelles URL liées à celle-ci seront repérées. En parallèle, IronPort collabore étroitement avec ses partenaires pour faire en sorte que les signatures correspondant à de nouvelles variantes de codes malveillants exploitant cette vulnérabilité soient immédiatement transmises à ses appliances S-Series.
A propos d’IronPort Systems
IronPort Systems est un fournisseur majeur d'appliances anti-spam, anti-virus et anti-spyware s'adressant aux entreprises de toutes tailles, depuis les PME jusqu'aux plus grandes multinationales. Les appliances IronPort s'appuient sur SenderBase®, le plus vaste réseau mondial de détection des menaces pour les messageries électroniques et le Web. Les produits d’IronPort se caractérisent par leur innovation, leur facilité d'utilisation et leurs performances de pointe. Ils jouent un rôle stratégique au sein de l'infrastructure réseau d'une entreprise. Pour en savoir plus sur ses produits et services, consultez le site http://www.ironport.com/
Type Éditeur de solutions
Rss
PDF
Salle de presse