Sécurité des systèmes Windows
Base OSWIN v2
Site expérimental
Ressources
XP SP2
Guides de sécurité
Outils
Forum (N/D)
Rechercher sur ce site :
Site réalisé, maintenu et hébergé par EdelWeb
Veille OSSIR pour le mois de Décembre 2004
Date de création : 15/04/2005
Dernière modification : 24/05/2005
1. Avis Microsoft
2. Autres avis
3. Nouveaux outils
4. Autres infos
Les faits marquants de ce mois-ci :
- Correctif publié pour le bogue "IFRAME"
- Faille dans la fonction ZIP de Windows
- Forte propagation de Sober.J
Avis Microsoft |
| Alerte | MS04-039 Spoofing d'adresse sur ISA Server |
|---|---|
| Référence | Microsoft / Novembre 2004 |
| Affecte | MS Proxy 2.0 SP1 ISA Server 2000 SP1 et SP2 Small Business Server 2000 et 2003 |
| Type de problème | Il est possible d'envoyer une réponse usurpée lors du "reverse lookup" DNS. |
| Exploitation | Peu d'informations ont été publiées sur la méthode d'exploitation, mais la faille semble simple à exploiter. |
| Avis de l'OSSIR | Peu d'informations sont disponibles, mais Microsoft estime le risque comme important. |
| Alerte | MS04-040 Correctif pour le bogue "IFRAME" |
|---|---|
| Référence | Microsoft / Novembre 2004 |
| Affecte | Internet Explorer |
| Type de problème | Le tag IFRAME souffre d'un problème de "buffer overflow". Il est possible d'exécuter du code malveillant dans le contexte de l'utilisateur courant si celui-ci surfe sur une page Web hostile. |
| Exploitation | Ce bug est largement diffusé et exploité sur Internet. |
| Avis de l'OSSIR | Il est fortement recommandé d'appliquer le correctif. |
Mise à jour de bulletins
Aucune.
Autres avis |
| Alerte | Vulnérabilités dans la JVM Sun |
|---|---|
| Référence | N/D |
| Affecte | JVM Sun de version inférieure ou égale à 1.4.2_05 (exploitable à travers tout navigateur) |
| Type de problème | Le code Javascript peut accéder aux API privées sun.* même si le code Java est bloqué. |
| Exploitation | Le code d'exploitation a été publié sur Internet. Par exemple : <script language=javascript> Crédit : Jouko Pynnonen, Finland. |
| Avis de l'OSSIR | La solution est d'installer une JVM Sun récente. Il faut également désinstaller toutes les anciennes versions, car il est possible d'invoquer une version spécifique de la JVM (Cf. http://java.sun.com/products/plugin/versions.html#answers). Ce type de faille étant largement exploité par les auteurs de spywares, il est recommandé de patcher. |
| Alerte | Buffer overflow dans le service WINS |
|---|---|
| Référence | N/D |
| Affecte | Toutes les versions du service WINS |
| Type de problème | Le service WINS est affecté par un buffer overflow, permettant le déni de service ou même, l'exécution de code à distance. Cette vulnérabilité connue depuis mai 2004, a été publiée par Immunity suite à des fuites sur Internet. |
| Exploitation | L'exploitation est effectuée via le port 42/TCP. L'exploit est publié sur Internet. |
| Avis de l'OSSIR | Le service WINS de l'entreprise ne doit pas être accessible via Internet. Cependant, la propagation de vers exploitant cette vulnérabilité conjointement à d'autres (ex : DCOM) n'est pas exclue. |
| Alerte | "Buffer overflow" dans Frontpage |
|---|---|
| Référence | N/D |
| Affecte | Microsoft FrontPage 97, 98 |
| Type de problème | La librairie Asycpict.dll est affectée par un buffer overflow. L'interprétation d'images JPEG mal formées peut provoquer un déni de service. |
| Exploitation | La méthode d'exploitation est publiée sur Internet. |
| Avis de l'OSSIR | Le risque d'exploitation "dans la nature" est faible. On notera toutefois qu'il n'existe pas de correctif, la seule protection étant d'installer un logiciel de type URLScan. |
| Alerte | Déni de service distant dans SQL Server 7.0 |
|---|---|
| Référence | N/D |
| Affecte | Microsoft SQL Server 7.0 SP0, SP1, SP2, SP3, SP4 |
| Type de problème | Cette vulnérabilité est due au traitement de paquets réseau invalides. |
| Exploitation | La méthode d'exploitation est publiée sur Internet. |
| Avis de l'OSSIR | - |
| Alerte | Laxisme des droits sur des services Windows 2003 |
|---|---|
| Référence | N/D |
| Affecte | Windows 2003 |
| Type de problème | Des services peuvent être arrêtés et démarrés par les membres du groupe "tout le monde". |
| Exploitation | Il se s'agit pas d'une faille en soi, mais le démarrage de services peut entrainer l'ouverture de ports et/ou la création de canaux nommés non désirés (eux-même potentiellement vulnérables à des failles). |
| Avis de l'OSSIR | Un renforcement des droits d'accès doit être effectué sur les services. Note : les droits d'accès sur les services peuvent être édités avec la commande "SC QUERY" ou l'utilitaire tiers SCACL.EXE |
| Alerte | Déni de service sur les connexions TCP |
|---|---|
| Référence | N/D |
| Affecte | De nombreuses implémentation TCP/IP (dont Linux et Windows) |
| Type de problème | La mauvaise gestion de la fragmentation TCP peut être exploitée afin de mener des dénis de service sur les sessions établies. |
| Exploitation | Le code d'exploitation est publié sur Internet sous le nom de "New Dawn Attack". |
| Avis de l'OSSIR | Ce type de faille est critique pour des serveurs accessibles depuis Internet. |
| Alerte | Vulnérabilités multiples dans W3WHO.DLL |
|---|---|
| Référence | CAN-2004-1133, CAN-2004-1134 |
| Affecte | W3Who.dll (Microsoft Browser Client Context Tool) livré avec le Resource Kit Windows 2000. |
| Type de problème | Cette librairie est affectée par une vulnérabilité de type Cross Site Scripting, et une autre de type Buffer Overflow. |
| Exploitation | Les méthodes d'exploitation ont été publiées sur Internet. |
| Avis de l'OSSIR | Aucun correctif ne sera publié par Microsoft. Il est recommandé de ne pas utiliser cette librairie sur un serveur de production. |
Nouveaux outils |
Aucun.
Autres infos |
- Fin du support Windows XP RTM sur WindowsUpdate, depuis le 30 septembre 2004
http://go.microsoft.com/fwlink/?LinkId=37139
- Fin du support Windows NT4 Server au 31 décembre 2004
http://go.microsoft.com/?linkid=1408016
- Comment protéger Windows NT4 et 98
http://www.microsoft.com/france/technet/securite/legsgch1.mspx
- Possibilité de support payant personnalisé pour Windows NT4 et Exchange 5.5
http://www.zdnet.fr/actualites/technologie/0,39020809,39190531,00.htm
- Pas de SP5 pour Windows 2000, mais un "RollUp" mi-2005
http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/rollup.asp
(Théoriquement, Windows 2000 est supporté jusqu'en 2010)
- Documentation de la faille "KDataStruct"
La faille KDataStruct, affectant Windows CE 2.0, 3.0 et 4.2, et exploitée par le virus WinCE.Dust, a été documentée (Cf. http://www.securityfocus.com/bid/11218).
- Un virus exploite le bogue "IFRAME"
Le virus MyDoom.AD / Bofra.B / MyDoom.AH exploite le bogue "IFRAME".
- Forte propagation du virus Sober.J
- Un nouveau Cheval de Troie pour SynbianOS : skulls
http://www.f-secure.com/v-descs/skulls.shtml
http://vil.nai.com/vil/content/v_130134.htm
- Netsky-P élu virus de l'année 2004 par Sophos
http://www.sophos.fr/pressoffice/pressrel/20041208yeartopten.html