Sécurité des systèmes Windows
Base OSWIN v2
Site expérimental
Ressources
XP SP2
Guides de sécurité
Outils
Forum (N/D)
Rechercher sur ce site :
Site réalisé, maintenu et hébergé par EdelWeb
Veille OSSIR pour le mois de Novembre 2004
Date de création : 15/04/2005
Dernière modification : -
1. Avis Microsoft
2. Autres avis
3. Nouveaux outils
4. Autres infos
Les faits marquants ce mois ci :
- Publication de nombreux correctifs de sécurité Microsoft
- Forte propagation du ver Bagle.AT
Avis Microsoft |
| Alerte | MS04-029 Faille RPC (variante de la faille DCOM) |
|---|---|
| Référence | Microsoft / Octobre 2004 |
| Affecte | Windows NT4 uniquement |
| Type de problème | Déni de service, fuite d'information sur le contenu de la mémoire. |
| Exploitation | Le problème se situe dans la fonction rpc__mgmt_inq_stats(). |
| Avis de l'OSSIR | Il est recommandé d'appliquer ce patch afin d'améliorer la stabilité du système RPC/DCOM. |
| Alerte | MS04-030 Faille dans les messages WebDAV XML |
|---|---|
| Référence | Microsoft / Octobre 2004 |
| Affecte | Windows 2000, XP, 2003 (via IIS) |
| Type de problème | En exploitant cette faille, il est possible d'effectuer un déni de service sur un serveur IIS. |
| Exploitation | Le code d'exploitation a été publiée sur Internet. |
| Avis de l'OSSIR | L'application du correctif est fortement recommandée sur les serveurs Web accessibles depuis Internet. |
| Alerte | MS04-031 Faille NetDDE permettant l'exécution de code à distance |
|---|---|
| Référence | Microsoft / Octobre 2004 |
| Affecte | Windows NT4, 2000, XP, 2003 |
| Type de problème | Le composant NetDDE est affecté par une faille de type buffer overflow, permettant l'exécution de code à distance sous le compte SYSTEM. |
| Exploitation | Le code d'exploitation a été publié sur Internet. |
| Avis de l'OSSIR | NetDDE est une technologie obsolète. La désactivation du service est suffisante pour se protéger de cette vulnérabilité. |
| Alerte | MS04-032 Multiples failles Windows |
|---|---|
| Référence | Microsoft / Octobre 2004 |
| Affecte | Windows NT4, 2000, XP, 2003 |
| Type de problème | Elévation de privilèges vers SYSTEM à travers le gestionnaire de fenêtres ("shatter attack"). Elévation de privilèges locale vers SYSTEM à travers la machine virtuelle DOS (VDM). Vulnérabilité dans le traitement des fichiers EMF et WMF (publiée sur Internet en février 2004!). Déni de service local dans le noyau Windows. |
| Exploitation | Le détail de l'exploitation des failles WMF/EMF et de la "Shatter Attack" sont disponibles sur Internet. |
| Avis de l'OSSIR | La faille WMF/EMF est déjà exploitée par le ver Aler/Golten. L'application du correctif est recommandée. Remarque : des utilisateurs ont fait état d'une possible incompatibilité avec le produit CA Unicenter Software Delivery (USD), de version inférieure ou égale à 3.1. |
| Alerte | MS04-033 Vulnérabilité dans Excel permettant l'exécution de code |
|---|---|
| Référence | Microsoft / Octobre 2004 |
| Affecte | Office 2000, XP, Office 2001 pour Mac, Office X pour Mac |
| Type de problème | Excel est affecté par une vulnérabilité de type "buffer overflow". La longueur indiquée d'une chaîne de caractères est utilisée pour copier cette chaîne sans vérification. |
| Exploitation | L'exploitation est triviale. |
| Avis de l'OSSIR | Cette faille pourrait être exploitée par du code malveillant. Mais ce type de vecteur (documents Office) n'est plus vraiment exploité par les créateurs de virus. |
| Alerte | MS04-034 Faille dans le traitement des fichiers ZIP |
|---|---|
| Référence | Microsoft / Octobre 2004 |
| Affecte | Windows XP, 2003 |
| Type de problème | Une faille de type "buffer overflow" affecte la fonction Windows de décompression des archives ZIP. |
| Exploitation | Un exploit a été publié sur Internet. |
| Avis de l'OSSIR | L'exploitation "dans la nature" n'est pas évidente car elle nécessite que l'utilisateur ajoute des fichiers à une archive ZIP corrompue. Il est possible d'appliquer le correctif, ou de désinstaller le support ZIP : regsvr32 /u zipfldr.dll |
| Alerte | MS04-035 Vulnérabilité SMTP permettant l'exécution de code à distance |
|---|---|
| Référence | Microsoft / Octobre 2004 |
| Affecte | Windows XP, 2003 (via IIS) |
| Type de problème | Le traitement des réponses DNS est affecté par un "buffer overflow". |
| Exploitation | Peu d'informations ont été diffusées sur cette faille. |
| Avis de l'OSSIR | Les serveurs de messagerie étant critiques pour l'entreprise, il est recommandé d'appliquer ce correctif. |
| Alerte | MS04-036 Vulnérabilité NNTP permettant l'exécution de code à distance |
|---|---|
| Référence | Microsoft / Octobre 2004 |
| Affecte | Windows NT4 Server, 2000 Server, 2003 (via IIS) |
| Type de problème | Une vulnérabilité de type "buffer overflow" est présente dans le composant NNTP de Windows. Cette vulnérabilité pourrait être exploitée même si NNTP n'est pas utilisé. |
| Exploitation | La méthode d'exploitation a été publiée sur Internet. Le "buffer overflow" se situerait dans la commande "XPAT". |
| Avis de l'OSSIR | L'application du correctif est recommandée, les serveurs de messagerie étant critiques pour l'entreprise. |
| Alerte | MS04-037 Vulnérabilités Windows |
|---|---|
| Référence | Microsoft / Octobre 2004 |
| Affecte | Windows NT4, 2000, XP, 2003 |
| Type de problème | Le shell de Windows est affecté par une vulnérabilité permettant l'exécution de code à distance. Le "convertisseur de groupes de programmes" (un utilitaire de migration Windows 3.1) est affecté par le même type de vulnérabilité. |
| Exploitation | Ces vulnérabilités sont exploitables par un site Web malveillant, afin d'exécuter du code sur la machine du visiteur. |
| Avis de l'OSSIR | Ce type de vulnérabilité est souvent largement exploité sur Internet afin d'installer des spywares et des adwares sur les postes des utilisateurs. Il est fortement recommandé de patcher. |
| Alerte | MS04-038 Patch cumulatif pour Internet Explorer |
|---|---|
| Référence | Microsoft / Octobre 2004 |
| Affecte | Internet Explorer 5.0, 5.5, 6.0 |
| Type de problème | Plusieurs failles IE sont corrigées par ce correctif : - "Heap overflow" dans le traitement des CSS |
| Exploitation | Certaines de ces failles sont connues et largement exploitées depuis quelques temps sur Internet par les auteurs de spywares. |
| Avis de l'OSSIR | Il est fortement recommandé de patcher. |
Mise à jour de bulletins
- MS04-028 (faille GDI+ dite "faille JPEG") : mise à jour de la section Office XP, Vision 2002, Project 2002
Mise à jour des outils de détection
- GDI Scan v2 : http://isc.sans.org/gdiscan.php
- Enterprise Scanning Tool Update (Cf. Q886988)
- SMS Scanning Tool (Cf. Q885920)
Autres avis |
| Alerte | 2 failles IE non patchées permettant de contourner les zones de sécurité |
|---|---|
| Référence | N/D |
| Affecte | IE 6.0 |
| Type de problème | 1/ Variante "drag & drop" : repose sur la priorité des attributs SRC/DYNSRC dans le tag IMG 2/ Utilisation des fichiers ".hhk" (index d'aide) |
| Exploitation | Des codes d'exploitation utilisant la méthode "adodb.recordsets.save" ont été publiés sur Internet. |
| Avis de l'OSSIR | Il est possible de se protéger en mettant le Kill Bit sur le contrôle "Shell.Explorer" dans la base de registre : HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{8856F961-340A-11D0-A96B-00C04FD705A2} "Compatibility Flags"=dword:00000400 |
| Alerte | De nombreux antivirus traitent incorrectement les fichiers ZIP |
|---|---|
| Référence | N/D |
| Affecte | McAfee, Computer Associates, Kaspersky, Sophos, Eset, RAV |
| Type de problème | Si la taille annoncée du fichier compressé est 0 dans l'entête ZIP, alors le fichier n'est pas scanné. Des virus peuvent ainsi passer sans être détectés. |
| Exploitation | L'exploitation de cette faille est simple. |
| Avis de l'OSSIR | Les codes exploitant des failes de produits antivirus sont rares. Il est toutefois recommandé d'appliquer les mises à jour proposées par les éditeurs. |
Nouveaux outils |
Aucun.
Autres infos |
- Succès inattendu pour Bagle.AT
Bien que ce ver ne comporte rien de révolutionnaire, il se propage massivement sur Internet. De nombreux CERT ont émis une alerte.