OSSIR

 

Sécurité des systèmes Windows

Base OSWIN v2

Site expérimental

Dernières mises à jour

Ressources
XP SP2
Guides de sécurité
Outils

Avis de sécurité Windows

Accès à l'ancienne base

Site officiel de l'OSSIR

Forum (N/D)

Contact

Rechercher sur ce site :


The Web OSWIN

Site réalisé, maintenu et hébergé par EdelWeb

Veille OSSIR pour le mois de Octobre 2004

Date de création : 15/04/2005
Dernière modification : 25/05/2005

1. Avis Microsoft
2. Autres avis
3. Nouveaux outils
4. Autres infos

Les faits marquants ce mois ci :

  • La faille GDI+ (dite "bogue JPEG") et son exploitation
  • Virus MyFIP utilisant des techniques anti-analyse

Avis Microsoft

 

Alerte MS04-027 Vulnérabilité dans le convertisseur WordPerfect
Référence Microsoft / Septembre 2004
Affecte Office 2000 / XP / 2003
Type de problème

"Buffer overflow" permettant l'exécution de code assembleur sans confirmation lors de l'ouverture d'un document WordPerfect dans Office.

Le code s'exécute dans le contexte de l'utilisateur courant.
Exploitation L'ensemble des détails techniques utiles pour l'exploitation ont été publiés sur Internet.
http://www.nextgenss.com/advisories/wordperconv.txt
Avis de l'OSSIR

Une faille importante, mais la propagation de virus via des documents Office n'est plus tellement au goût du jour chez les créateurs de virus ...

 

Alerte MS04-028 Vulnérabilité dans la librairie de décodage JPEG
Référence Microsoft / Septembre 2004
Affecte

A peu près tous les logiciels Microsoft … et des logiciels tiers.

Note : Windows XP SP2 ne peut pas affecté par ce type de problème grâce à sa protection native contre les "heap overflows".
Type de problème

"Heap overflow" dans la librairie GDI+ ("gdiplus.dll") et d'autres DLLs de décodage JPEG basées sur le même code.

Lors de l'ouverture d'un fichier JPEG infecté, il est possible d'exécuter du code assembleur dans le contexte de l'utilisateur courant.
Exploitation

L'exploitation d'une faille de type "heap overflow" est par nature difficile et peu fiable. Il existe toutefois une possibilité d'exécution combinée dans IE, où un premier script remplit la mémoire avec une valeur connue, tandis qu'un deuxième ouvre l'image JPEG : la fiabilité de cette méthode dépasse les 99%.

Ce bogue est activement exploité par différents codes malveillants sur Internet (exploitation manuelle dans des salons de discussion, exploitation par des spywares, etc.).
Avis de l'OSSIR

Cette faille exploitée au travers d'IE est critique car d'exploitation très fiable.

Le problème principal consiste à identifier toutes les instances du code défaillant sur une machine, car la librairie JPEG a été compilée statiquement dans de nombreuses applications et vendue à des éditeurs tiers.

Microsoft fournit un outil spécialisé à cette fin : "gdidettool.exe".

Microsoft fournit 26 patches différents pour ses applications - la détection du niveau de patch pose un réel problème aux outils traditionnels tels que MBSA, SMS, WUS, etc.

 

Autres avis

 

Alerte Vulnérabilités multiples dans les implémentations MIME
Référence

Corsaire
http://www.corsaire.com/advisories/c030804-001.txt
http://www.corsaire.com/advisories/c030804-002.txt
http://www.corsaire.com/advisories/c030804-003.txt
http://www.corsaire.com/advisories/c030804-004.txt
http://www.corsaire.com/advisories/c030804-005.txt
http://www.corsaire.com/advisories/c030804-006.txt
http://www.corsaire.com/advisories/c030804-007.txt
http://www.corsaire.com/advisories/c030804-008.txt
http://www.corsaire.com/advisories/c030804-009.txt

3APA3A
http://www.security.nnov.ru/advisories/content.asp

Des CERTs ont relayé l'alerte.
Affecte

De nombreuses implémentations MIME …
Type de problème

En jouant sur les différence d'implémentation des standards MIME entre les différents niveaux de filtrage, il est possible de contourner la plupart des outils de sécurité.
Exploitation

Se reporter aux avis Corsaire pour plus de détails.
Avis de l'OSSIR

Un problème grave qui pourrait permettre à des virus de contourner les systèmes de filtrage ... Reste à chaque éditeur de produit à se mettre à jour.

 

Nouveaux outils
  • Logiciel PrevX de protection proactive du poste de travail

https://www.prevx.com/homeoffice/homeoffice_homedownload.htm

Autres infos
  • Microsoft diffuse le code source d'Office 2003 aux gouvernements

http://www.microsoft.com/presspass/press/2004/sep04/09-19OfficeGSPPR.asp

  • Longhorn prévu pour 2006

http://www.microsoft.com/france/cp/2004/8/info.asp?mar=/france/cp/2004/8/31080401_a26.html
Ne sera pas livré avec le nouveau système de fichier WinFS.
Parmi les nouveautés attendues : l'interface nativement 3D, les possibilités de "Grid Computing" et de P2P, la console d'administration.
La plupart des améliorations seront réintégrées dans Windows XP et 2003.

  • Virus MyFIP : intéressant à plusieurs points de vue

La V1 est protégée par l'utilitaire anti-analyse MEW.
La routine de décompression contient elle-même un infecteur !
La V2 est protégée par l'utilitaire anti-analyse ASPACK 2.12.

  • Virus CE.Dust : le code source dévoilé et analysé sur Internet !

Exploite un bogue Kernel dans Windows Mobile 2003 (visibilité de la structure KDataStruct en mode utilisateur)
http://www.informit.com/articles/article.asp?p=337071

  • Virus SDBOT.UH : très élaboré techniquement
  1. Exploite à distance les failles MS03-026, MS02-061, MS03-007, MS04-011.
  2. "Brute force" le compte administrateur local à distance via IPC$.
  3. Lance des dénis de service vers des adresses aléatoires.
  4. Installe un sniffer recueillant les chaines "auth", "login", "paypal", …
  5. Vole les clés de licence pour une quarantaine de jeux en ligne.
  6. Pilotable via IRC.
  • La société "Securepoint" a engagé Sven Jaschan, auteur du ver Sasser.