L'attaque se passe en trois temps. La première étape consiste à exploiter une faille présente sur la machine cible (dans notre cas un Windows XP SP2). La faille choisit est la faille MS08-067.
La deuxième étape consiste à injecter la dll qui nous permettra de faire du keylogging sur le poste cible. La dernière étape consiste à exploiter cette faille en associant le keylooging aux processus qui fonctionnent sur la machine cible et que l'on veut surveiller. Dans le cadre de la vidéo nous associons notre keylogger aux processus "explorer.exe" et "winlogon.exe".
Afin de décrire en quoi consiste la faille MS08-067, vous trouverez ci-après un extrait du bulletin de sécurité Microsoft MS08-067 paru le 23 octobre 2008:
"Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le service Serveur. La vulnérabilité pourrait permettre l'exécution de code à distance si un système affecté recevait une requête RPC spécialement conçue. Sur les systèmes Windows 2000, Windows XP et Windows Server 2003, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sans nécessiter d'authentification. Il serait possible d'utiliser cette vulnérabilité dans la création d'un ver. Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les ressources réseau contre les attaques lancées depuis l’extérieur de l’entreprise.
Il s'agit d'une mise à jour de sécurité de niveau « critique » pour toutes les éditions prises en charge de Windows 2000, Windows XP, Windows Server 2003 et de niveau « important » pour toutes les éditions prises en charge de Windows Vista et Windows Server 2008."
Pour information les bulletins de sécurité de Microsoft peuvent être consultés à l'adresse suivante: http://www.microsoft.com/france/technet/security/bulletin/default.mspx
Sur ce site vous avez la possibilité de vous abonner aux newsletters et alertes Sécurité Microsoft.
Pour ceux qui ne sont pas familier avec les processus de Windows, l'explorateur Windows ("explorer.exe") est l'application utilisée dans le système d'exploitation Windows pour l'affichage, l'exploration et l'utilisation des fichiers et répertoires.
Quant à "winlogon.exe", c'est un composant de Windows qui gère l'ouverture et la fermeture de session, et le "Ctrl-Alt-Delete".
En particulier, il charge le profil d'un utilisateur après qu'il se soit authentifié, et il gère l'écran de veille.
Vous trouverez ci-dessous la vidéo de l'exploit:
D'une manière générale pour éviter d'être la cible de ce type d'attaque vous devez avoir un pare-feu personnel mis à jour.
Bien entendu votre pare-feu peut lui même être la cible d'attaque afin de vous laisser croire qu'il contrôle la situation alors qu'il a été désactivé. Mais ceci est une autre histoire...! 
Bonjour,
RépondreSupprimerJe découvre ce Blog. Super bien.
Concernant les keyloger ou Screenloger la seul solution de lutte reste l'authentification forte...
Sylvain
Tres bonne demo,
RépondreSupprimerCa permet de prendre conscience de tout ce qui peut se passer "sous le manteau"...
Quand a l'authentification forte, certes ca ameliore bien, mais le PIN peut etre capturé de la meme maniere, alors il ne faut pas oublier sa carte dans le lecteur en allant manger...
Ge