Notre support fait face, ces derniers jours, à une augmentation importante des situations de crise chez nos clients qui n’ont pas encore déployé le correctif fourni par le Bulletin MS08-067 d’octobre 2008.

Nous tenons à en informer nos partenaires, afin de vous aider à apporter le meilleur service à vos clients.

Cordialement,

L’équipe Marketing Partenaires Microsoft France

Quel est le but de ce message ?

Ce message a pour but de vous informer à propos de l’augmentation des infections liées au virus Conficker (appelé également « Downadup » ou « Kido ») et de vous fournir les ressources permettant de s’en protéger ou de le supprimer.

Synthèse

Le 23 octobre 2008, Microsoft a fourni une mise à jour de sécurité permettant de corriger une vulnérabilité dans Windows.

Le virus Conficker tente d’exploiter la vulnérabilité sur les machines où la mise à jour n’est pas déployée et utilise plusieurs vecteurs d’attaque pour se propager (cf. Détails techniques).

Il est primordial de se protéger en généralisant le déploiement de la mise à jour MS08-067 (cf. Recommandations).

Recommandations

- Microsoft recommande à ses clients de tester et d’appliquer immédiatement la mise à jour de sécurité fournie dans le Bulletin MS08-067 et de maintenir les systèmes à jour.

- Microsoft recommande de ne pas ouvrir de session en utilisant un compte d’Administrateur de domaine et d’utiliser systématiquement des mots de passe complexes.

- En cas d’infection, des informations concernant la suppression sont disponibles pour les utilisateurs et pour les professionnels de l’informatique.

Détails techniques

Le virus Conficker (appelé également « Downadup » ou « Kido ») se propage en utilisant les réseaux et les médias amovibles (clés USB…)

La plupart du temps, les symptômes sont les suivants :

- Plusieurs comptes Administrateurs et/ou Utilisateurs sont verrouillés,
- Plusieurs services importants sont arrêtés et désactivés,
- Vous ne pouvez pas accéder au site Web Microsoft Update et à certains sites Web d’éditeurs antivirus,
- Vous rencontrez des problèmes liés à Svchost.exe

Les vecteurs d’attaques les plus probables sont :

- La vulnérabilité liée à MS08-067,
- Les partages de fichiers ouverts,
- Les ressources réseau accessibles à l’utilisateur connecté,
- Les ressources réseau protégées par des mots de passe faibles,
- Les périphériques amovibles ou lecteurs réseaux (lancement automatique de programme par  autorun).

Nos conseillons de ne pas ouvrir, si possible, de session avec un compte de Domaine. En particulier, nous recommandons de ne surtout pas utiliser un compte d’Administrateur de Domaine. Il faut donc ouvrir une session avec un compte d’utilisateur local. En effet, le logiciel malveillant utilise le compte de l’utilisateur connecté pour tenter d’accéder aux ressources réseau et se propager.

Détails complets

- Bulletins de sécurité : Microsoft sécurité
- Suppression de Conficker pour les utilisateurs : Blog sécurité grand public
- Suppression de Conficker pour les professionnels : Suppression de Conficker
- Informations sur le virus Conficker : Microsoft Malware Protection Portal (en anglais)

Cohérence des informations

Nous nous efforçons de vous fournir des informations exactes sous forme statique (ce mail) et dynamiques (sur le Web). Le contenu relatif à la sécurité sur le Web est mis à jour au fur et à mesure de l’évolution des informations. S’il en résulte des incohérences entre les informations présentées ici et le contenu sur le site Web Microsoft, ce dernier fait autorité.