OSSIR

 

Sécurité des systèmes Windows

Base OSWIN v2

Site expérimental

Dernières mises à jour

Ressources
XP SP2
Guides de sécurité
Outils

Avis de sécurité Windows

Accès à l'ancienne base

Site officiel de l'OSSIR

Forum (N/D)

Contact

Rechercher sur ce site :


The Web OSWIN

Site réalisé, maintenu et hébergé par EdelWeb

Veille OSSIR pour le mois de Juin 2005

Date de création : 05/07/2005
Dernière modification : -

1. Avis Microsoft
2. Autres avis
3. Nouveaux outils
4. Autres infos

Les faits marquants de ce mois-ci :

  • Publication de patchs Microsoft corrigeant des vulnérabilités critiques, permettant l'exécution de code à distance
  • Support WPA2 pour Windows XP SP2
  • Fonctionnalité "Tar Pit" de Microsoft Exchange 2003 pour lutter contre les emails non sollicités

Avis Microsoft

 

Alerte MS05-016 - Vulnérabilité dans le shell Windows
Référence

Microsoft / Avril 2005

CAN-2005-0063
Affecte Windows 2000 SP3/SP4, XP SP1/SP2, 2003
Type de problème

Un fichier OLE est ouvert en fonction de son CLSID et non de son extension.

Crédit:
iDefense
Exploitation L'exploitation est triviale.
Avis de l'OSSIR L'application du correctif est recommandée.

 

Alerte MS05-017 - Vulnérabilité dans Microsoft Message Queuing
Référence

Microsoft / Avril 2005

CAN-2005-0059
Affecte Windows 2000 SP3/SP4, XP SP1
Type de problème

Le service Message Queuing est affecté par un buffer overflow, permettant l'exécution de code à distance.

Crédit:
Kostya Kortchinsky
Exploitation Le code d'exploitation a été publié sur Internet (un module a été publié pour Metasploit). La vulnérabilité est exploitable via RPC.
Avis de l'OSSIR L'application du correctif est recommandée.

 

Alerte MS05-018 - 4 vulnérabilités dans le noyau
Référence

Microsoft / Avril 2005

CAN-2005-0060, CAN-2005-0061, CAN-2005-0550, CAN-2005-0551
Affecte Windows 2000 SP3/SP4, XP SP1/SP2, 2003
Type de problème

4 problèmes ont été identifiés dont 1 concernant la gestion des polices par le noyau. Ces vulnérabilités sont exploitables uniquement en local et permettent l'élévation de privilège ou le déni de service.

Crédit:
John Heasman, NGSSoftware
Sanjeev Radhakrishnan, Amit Joshi, Ananta Iyengar, GreenBorder
David Fritz, iDefense
Exploitation La méthode d'exploitation a été publiée sur Internet.
Avis de l'OSSIR Ces failles ne sont exploitables que localement. Leur exploitation par des codes malveillants est peu probable.

 

Alerte MS05-019 - 5 vulnérabilités TCP/IP
Référence

Microsoft / Avril 2005

CAN-2005-0048, CAN-2004-0790, CAN-2004-1060, CAN-2004-0230, CAN-2005-0688
Affecte Windows 2000 SP3/SP4, XP SP1/SP2, 2003
Type de problème

5 vulnérabilités affectent la pile TCP/IP de Windows :

- L'envoi d'un paquet IP malformé à un système vulnérable, permettrait une exécution de code.

- L'envoi d'un paquet ICMP spécialement conçu permettrait de tuer toutes les connexions TCP de la machine vulnérable.

- L'envoi de paquets ICMP spécialement conçus permettrait de dégrader les performances réseau d'un système vulnérable.

- L'envoi d'un paquet TCP spécialement conçu permettrait de tuer les connexions TCP de la machine vulnérable.

- L'envoi d'un paquet TCP spécialement conçu aurait pour effet d'empêcher le système vulnérable de répondre aux requêtes ultérieures.

Crédit:
Song Liu, Hongzhen Zhou, Neel Mehta (ISS X-Force)
Ainsi que Fernando Gont, Qualsys
Exploitation

Des programmes d'exploitation ont été publiés sur Internet.
Avis de l'OSSIR

L'application du correctif est recommandée.

 

Alerte MS05-020 - Patch cumulatif pour Internet Explorer
Référence

Microsoft / Avril 2005

CAN-2005-0553, CAN-2005-0554, CAN-2005-0555
Affecte Windows 2000, XP, 2003
Internet Explorer 5.01, 5.5, 6
Type de problème

Ce patch cumulatif corrige également 3 nouvelles vulnérabilités, permettant l'exécution de code sur le système vulnérable, via DHTML, via des fichiers "Content Advisor", ou via des URL malformées.

Crédit:
Berend-Jan Wever, 3APA3A, axle@bytefall et IDefense
Andres Rarasco (SIA Group)
Exploitation

Les méthodes d'exploitation ont été publiées sur Internet (ex : utilisation des "race condition" dans createElement(), appendChild(), removeNode()).
Avis de l'OSSIR

L'application du correctif est recommandée sur les machines utilisées pour naviguer sur Internet.

 

Alerte MS05-021 - Vulnérabilité Exchange
Référence

Microsoft / Avril 2005

CAN-2005-0560
Affecte Exchange 2000 SP3, 2003 SP0/SP1
Type de problème

Un attaquant pourrait exécuter le code de son choix en exécutant une commande SNMP malformée (via l'exploitation d'un buffer overflow).

Crédit : Mark Dowd, Ben Layer (ISS X-Force)
Exploitation Le code d'exploitation est disponible sur Internet.
Avis de l'OSSIR L'application du correctif est recommandée.

 

Alerte MS05-022 - Vulnérabilité MSN
Référence

Microsoft / Avril 2005

CAN-2005-0562
Affecte MSN Messenger 6.2
Type de problème

MSN Messenger est affecté par un buffer overflow exploitable via une image GIF malformée.

Crédit:
Hongzhen Zhou
Exploitation Le code d'exploitation a été publié sur Internet.
Avis de l'OSSIR L'application de ce correctif est recommandée sur les machines personnelles (ce type de logiciel est rarement utilisé en entreprise).

 

Alerte MS05-023 - 2 vulnérabilités Word
Référence

Microsoft / Avril 2005

CAN-2004-0963, CAN-2005-0558
Affecte Word 2000, 2002, 2003
Type de problème

Word est affecté par un buffer overflow exploitable à l'ouverture d'un document.

Crédit:
Alex Li
Exploitation La méthode d'exploitation ne semble pas avoir été publiée.
Avis de l'OSSIR Il est peu probable qu'un code malveillant exploite cette faille à grande échelle.

 

Alerte MS05-024 - Vulnérabilités dans la prévisualisation de documents via EXPLORER
Référence

Microsoft / Mai 2005

CAN-2005-1191
Affecte Windows 2000 SP3/SP4
Type de problème

Une vulnérabilité affecte la fonctionnalité Web View de Windows Explorer. Cette vulnérabilité peut être exploitée afin d'exécuter du code malveillant.

Exploitation Un Proof of Concept a été publié.
Avis de l'OSSIR Plusieurs logiciels antivirus disposent de la signature de cette vulnérabilité. Il est peu probable qu'elle soit exploitée à grande échelle.

 

Alerte Q892313 - Exécution de scripts dans Windows Media Player
Référence

Microsoft / Mai 2005
Affecte Windows Media Player 9 et 10
Type de problème

Via le Windows Media Player Digital Rights Management, paramétré par défaut, il est possible d'exécuter du code sans confirmation de l'utilisateur.
Exploitation -
Avis de l'OSSIR -

 

Mise à jour de bulletins

Janvier 2005 :

  • MS05-002
    • Version 2.0 : corrige le problème avec Windows 98/ME

Février 2005 :

  • MS05-009
    • Version 2.0 : installation incorrecte par SUS
    • Version 2.1 : précision sur Messenger 4.7 / XP SP1
    • Version 2.2 : déploiement de la version 4.7
    • Version 2.3 : paramètres en ligne de commande pour la version 4.7
  • MS05-010
    • Version 1.2 : prise en compte de l'exploitation anonyme

Avril 2005 :

  • MS05-017
    • Version 1.1
  • MS05-019
    • Version 1.1 : régressions détectées, une nouvelle version du correctif sera publiée en juin (par exemple, sous Windows 2003 SP1, il y a des pertes de paquets sur des liens ayant des MTU différentes)
  • MS05-021
    • Version 1.1
  • MS05-022
    • Version 1.1 : précision sur Messenger 6.2
  • MS05-023
    • Version 1.2 : procédure pour le déploiement automatisé du correctif
    • Version 1.3 : typo dans la version Word 2000

Autres avis

 

Alerte Déni de service local par utilisation des "raw sockets"
Référence

CAN-2005-0852
Affecte

Windows XP
Type de problème

Il serait possible de crasher le noyau Windows par la création d'une "raw socket".

Cf. http://www.securityfocus.com/bid/12870
Exploitation

La méthode d'exploitation est publique.
Avis de l'OSSIR

-

 

Alerte Arrêt distant non autorisé d'un Windows XP
Référence

CAN-2005-0904

Affecte

Windows XP SP1
Type de problème

Il serait possible d'arrêter à distance une machine Windows XP, via la commande TSShutdn.exe, sans disposer des droits nécessaires. Il semblerait cependant que l'opération ne puisse être effectuée que depuis une autre machine jointe au même domaine.

Cf. http://www.securityfocus.com/bid/12889
Exploitation

La méthode d'exploitation est publique.
Avis de l'OSSIR

-

 

Alerte Exécution automatique dans FireFox 1.0.3
Référence

-
Affecte

FireFox 1.0.3
Type de problème

L'installateur d'extensions serait affecté par une vulnérabilité permettant l'exécution automatique de code binaire.

Une solution temporaire a été apportée par Mozilla Foundation en ajoutant des caractères aléatoires aux extensions.
Exploitation

-
Avis de l'OSSIR

-

 

Alerte Déni de service dans Internet Explorer
Référence

-
Affecte

Internet Explorer
Type de problème

Il serait possible de crasher Internet Explorer par le biais d'une balise onLoad().

Crédit:
Benjamin Tobias Franz
Exploitation

-
Avis de l'OSSIR

-

 

Nouveaux outils

 

Aucun.

Autres infos

 

  • Q842851 : "Tarpitting" SMTP

Une clé de registres permet de paramétrer le temps de réponse à certaines commandes SMTP d'un serveur Exchange 2003 (installé sur Windows 2003). Ce paramétrage a pour effet de limiter les emails non sollicités tels que les SPAM ou les vers de messagerie.

http://www.microsoft.com/technet/security/advisory/842851.mspx

  • Windows 2003 Service Pack 1 Administration Tools Pack

http://go.microsoft.com/?linkid=2945288

  • Publication d'une version beta de Windows 2003 R2

http://go.microsoft.com/?linkid=3024749

  • "Windows Server 2003-based computer becomes slow and unresponsive after running for several days"

De vieux démons ressurgissent... Microsoft publie un correctif, mais annonce clairement que d'autres pourront suivrent (ce dysfonctionnement affecte Windows 2003).

http://support.microsoft.com/kb/821008/

  • Des problèmes fixés "silencieusement" dans le Service Pack 1 de Windows 2003

Au moins deux vulnérabilités ont été corrigées silencieusement dans le Service Pack 1 de Windows 2003 : Un buffer overflow dans la gestion des chemins UNC et un déni de service via le redirecteur SMB.

http://www.securityfocus.com/bid/12969
http://www.securityfocus.com/bid/13008

  • Support WPA2 dans Windows XP

Microsoft a publié une mise à jour pour Windows XP SP2, fournissant le support du Wi-fi Protected Access 2 (WPA2).

http://support.microsoft.com/?id=893357

  • Visual Studio 2005 remplace toutes les fonctions "dangereuses" de ka LibC par une version "safe"

http://go.microsoft.com/?linkid=2896730

  • Nouveautés dans la sécurité de Microsoft SQL Server 2005

http://go.microsoft.com/?linkid=3024796

  • Chiffrement complet du disque avec Longhorn

http://go.microsoft.com/?linkid=2896734

  • Un spyware "open source": KSpyware v0.1

Ce spyware, écrit par un français, ne fait que quelques dizaines de lignes de PERL. Il récupère les adresses emails de la victime, modifie la page d'accueil de son navigateur...

http://nzeka-labs.com/hacking/KSpyware.htm

  • Un virus (français) qui détruit les fichiers illégaux : Nopir-B

http://www.sophos.com/virusinfo/articles/nopirb.html

  • Une Lexus infectée par un virus BlueTooth

Kaspersky aurait été contacté par un utilisateur désirant désinfecter des automobiles Lexus LX470, LS430, Landcruiser 100.

http://www.viruslist.com/en/weblog?weblogid=158190454

  • "Windows Genuine Advantage" cracké

http://www.xillioncomputers.com/modules.php?name=News&file=article&sid=336
http://www.hackingspirits.com/vuln-rnd/defeating-wga-check.zip

  • Apple migre vers une architecture x86...