Sécurité des systèmes Windows

Base OSWIN v2

Site expérimental

Dernières mises à jour

Ressources
XP SP2
Guides de sécurité
Outils

Avis de sécurité Windows

Accès à l'ancienne base

Site officiel de l'OSSIR

Forum (N/D)

Contact

Rechercher sur ce site :

Site réalisé, maintenu et hébergé par EdelWeb

Veille OSSIR pour le mois de Septembre 2005

Date de création : 13/01/2006
Dernière modification : -

1. Avis Microsoft
2. Autres avis
3. Nouveaux outils
4. Autres infos

Les faits marquants de ce mois-ci :

Publication de patchs Microsoft corrigeant des vulnérabilités critiques permettant l'exécution de code à distance dont certaines méthodes d'exploitation sont disponibles sur Internet et utilisées par des codes malveillants (cf. Zotob et la faille PnP)
Sortie de MBSA 2.0
Commercialisation de Windows XP 'N'
Publication de la beta 1 de Windows Vista

Avis Microsoft

Alerte	MS05-035 - Vulnérabilité "buffer overflow" dans Word
Référence	Microsoft / Juillet 2005 CAN-2005-0564
Affecte	Word 2000, Word 2002, Works 2000-2004
Type de problème	Cette vulnérabilité est due à un "buffer overflow" dans la gestion des polices de caractères permettant à l'ouverture d'un ".DOC" malformé d'exécuter du code arbitraire sur le système avec les privilèges de l'utilisateur connecté. Crédit : Lord Yup iDefense
Exploitation	La méthode d'exploitation ne semble pas avoir été publiée.
Avis de l'OSSIR	L'application du correctif est recommandée.

Alerte	MS05-036 - Vulnérabilité "buffer overflow" dans la gestion des profils de couleur
Référence	Microsoft / Juillet 2005 CAN-2005-1219
Affecte	Windows 2000, XP, 2003 (tous Service Packs)
Type de problème	Un "buffer overflow" est présent dans la gestion des informations ICC contenues dans les images permettant à une image malformée depuis un site web ou un email d'exécuter du code arbitraire sur le système avec les privilèges de l'utilisateur connecté. Crédit: Shih-haoWeng
Exploitation	Un Proof-Of-Concept permettant de provoquer un déni de service a été publiée sur Internet.
Avis de l'OSSIR	L'application du correctif est recommandée.

Alerte	MS05-037 - Vulnérabilité composant "JView Profiler"
Référence	Microsoft / Juillet 2005 CAN-2005-2087
Affecte	JVM de Windows 2000 SP4, Windows XP SP0/SP1/SP2, Windows 2003 SP0/SP1
Type de problème	La vulnérabilité dans l'objet COM "javaprxy.dll" permet via un site web ou un e-mail de provoquer un déni de service d'Internet Explorer et d'exécuter du code arbitraire sur le système avec les privilèges de la victime. Crédit: Qualy
Exploitation	Les méthodes d'exploitation ont été publiées sur Internet (ouverture d'une porte dérobée).
Avis de l'OSSIR	L'application du correctif est recommandée.

Alerte	MS05-038 - Patch cumulatif pour Internet Explorer
Référence	Microsoft / Août 2005 CAN-2005-1988, CAN-2005-1989, CAN-2005-1990
Affecte	IE (toutes versions)
Type de problème	Ce patch corrige 3 nouvelles vulnérabilités : un "Buffer overflow" dans la gestion des images JPEG, un "Cross-site scripting" (XSS) via WebDAV, un "Buffer overflow" dans l'instanciation de certains objets COM (ex:le DEVENUM.DLL) par IE. Crédit: Bernhard Mueller / Martin Eiszner (SEC Consult) NSFOCUS
Exploitation	Les méthodes d'exploitation pour la 3ème vulnérabilité ont été publiées sur Internet.
Avis de l'OSSIR	L'application du correctif est recommandée.

Alerte	MS05-039 - Vulnérabilité "Plug and Play"
Référence	Microsoft / Août 2005 CAN-2005-1983
Affecte	Windows 2000 SP4, Windows XP SP1/SP2, Windows 2003 SP0/SP1
Type de problème	Cette vulnérabilité dans le service réseau "Plug and Play" permet d'exécuter du code à distance sous le compte SYSTEM : • Exploitable de manière anonyme via RPC sous Windows 2000, • Exploitable par un utilisateur authentifiévia RPC sous Windows XP SP1, • Exploitable par un administrateur local sous Windows XP SP2 / Windows 2003. Crédit: NeelMehta(ISS X-Force) Jean-Baptiste Marchand (HSC) iDefense
Exploitation	Les méthodes d'exploitation ont été publiées sur Internet.
Avis de l'OSSIR	L'application du correctif est fortement recommandée, cette vulnérabilité est exploitée par le "Zotob".

Alerte	MS05-040 - Vulnérabilité dans le service TAPI
Référence	Microsoft / Août 2005 CAN-2005-0058
Affecte	Windows 2000 SP4, Windows XP SP1/SP2, Windows 2003 SP0/SP1
Type de problème	Cette vulnérabilité dans les gestions messages par l'interface TAPI permet l'exécution de code à distance sous le compte SYSTEM : • Exploitable de manière anonyme via RPC sous Windows 2000 Server • Exploitable localement sous Windows 2000 Pro / XP • Exploitable par un utilisateur authentifiévia RPC sous Windows 2003 Crédit : Kostya Kortchinsky (CERT Renater)
Exploitation	La méthode d'exploitation ne semble pas avoir été publiée.
Avis de l'OSSIR	L'application du correctif est recommandée.

Alerte	MS05-041 - Vulnérabilité DoS dans le service RDP
Référence	Microsoft / Août 2005 CAN-2005-1218
Affecte	Windows XP SP1/SP2, Windows 2003 SP0/SP1
Type de problème	Un paquet RDP malformé peut provoquer un déni de service sur une machine vulnérable (écran bleu). Crédit: Tom Ferris (Security Protocols)
Exploitation	La méthode d'exploitation a été publiée sur Internet pour Windows XP.
Avis de l'OSSIR	L'application de ce correctif est recommandée.

Alerte	MS05-042 - Vulnérabilités multiples dans Kerberos
Référence	Microsoft / Août 2005 CAN-2005-1981, CAN-2005-1982
Affecte	Windows 2000 SP4, Windows XP SP1/SP2, Windows 2003 SP0/SP1
Type de problème	Des vulnérabilités ont été découvertes dans l'implémentation Kerberos de Windows : • L'envoi de messages malformés peut entraîner un déni de service, • L'implémentation de PKINIT permet une fuite d'informations et un spoofing d'identité. On peut se demander si ces vulnérabilités peuvent permettre d'exécuter du code à distance sous le compte SYSTEM. Sur un contrôleur de domaine, le service Kerberos ouvre les ports TCP/88 et UDP/88. Crédit: Tony Chin (Shell, Inc.) AndreScedrov + students (PennsylvaniaUniversity)
Exploitation	La méthode d'exploitation ne semble pas avoir été publiée.
Avis de l'OSSIR	L'application de ce correctif est recommandée.

Alerte	MS05-043 - Vulnérabilité dans le spooler d'impression
Référence	Microsoft / Août 2005 CAN-2005-1205
Affecte	Windows 2000 SP4, Windows XP SP1/SP2, Windows 2003 SP0
Type de problème	Le service Print Spooler est vulnérable à un "buffer overflow" permettant l'exécution de code à distance sous le compte SYSTEM. Note : sous Windows XP SP2 et Windows 2003 SP1, il résulte un déni de service. Crédit : Kostya Kortchinsky(CERT Renater)
Exploitation	La méthode d'exploitation ne semble pas avoir été publiée.
Avis de l'OSSIR	L'application de ce correctif est recommandée.

Mise à jour de bulletins

Avril 2005 :

MS05-019 - Vulnérabilité TCP/IP
- Version 2.1 : mise à jour des effets de bord
MS05-023 - Vulnérabilité Word
- Version 2.0 : Word Viewer est affecté également

Juin 2005 :

MS05-030 - Patch cumulatif Outlook Express
- Version 1.2 : ce bulletin ne remplace pas MS04-018
MS05-032 - Spoofing dans Microsoft Agent
- Version 2.0 : nouveau correctif pour XP64 et Windows 2003
MS05-033 - Vulnérabilité dans le client Telnet
- Version 2.0 : publication d'un correctif pour SFU 2.0 et 2.1

Juillet 2005 :

MS05-036 - "Buffer overflow" dans les profils ICC
- Version 1.1 : cas où le redémarrage requis
MS05-037 - Vulnérabilité "JViewProfiler"
- Version 1.1 : mise à jour des méthodes de détection

Août 2005 :

MS05-038 - Patch cumulatif pour IE
- Version 2.1 : mises à jour variées
MS05-040 - Vulnérabilité dans le service TAPI
- Version 1.1 : mise à jour de la section Windows 98/ME
MS05-043 - Vulnérabilité dans le spooler d'impression
- Version 1.1 : mise à jour des "workarounds"

Autres avis

Alerte	[Q899588] Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege
Référence	MS05-039 CAN-2005-1983
Affecte	Windows 2000 SP4, Windows XP SP1/SP2, Windows 2003 SP0/SP1
Type de problème	Des exploits de la faille MS05-039 sont en circulation sur Internet, le ver Zotob exploite cette vulnérabilité pour se répandre. Cf. http://www.microsoft.com/technet/security/advisory/899588.mspx
Exploitation	-
Avis de l'OSSIR	-

Alerte	[Q906267] A COM Object (Msdds.dll) Could Cause Internet Explorer to Unexpectedly Exit
Référence	CAN-2005-2127
Affecte	Internet Explorer
Type de problème	Nouvelle vulnérabilité affectant IE pouvant permettre un déni de service voir une exécution de code à distance. Cf. http://www.microsoft.com/technet/security/advisory/906267.mspx
Exploitation	La méthode d'exploitation ne semble pas avoir été publiée.
Avis de l'OSSIR	-

Alerte	[Q906574] "Clarification of Simple File Sharing and ForceGuest"
Référence	-
Affecte	Windows XP SP1/SP2
Type de problème	Précise les conditions d'exploitabilité de MS05-039. Cf. http://www.microsoft.com/technet/security/advisory/906574.mspx
Exploitation	-
Avis de l'OSSIR	-

Alerte	[Q897663] Windows Firewall Exception May Not Display in the User Interface
Référence	-
Affecte	Windows XP SP2
Type de problème	Il est possible de créer des exceptions dans le firewall XP SP2 sans confirmation de l'utilisateur. Cf. http://www.microsoft.com/technet/security/advisory/897663.mspx
Exploitation	La méthode d'exploitation est publique.
Avis de l'OSSIR	-

Alerte	[Q840123] The Microsoft Exchange Information Store service crashes when an Internet Message Access Protocol, Version 4rev1 user tries to list public folders from a server that is running Exchange Server 2003
Référence	-
Affecte	Exchange 2003
Type de problème	Déni de service sur Exchange 2003 via un accès IMAP4. Cf. http://support.microsoft.com/kb/840123
Exploitation	La méthode d'exploitation dépend de l'implémentation de la solution.
Avis de l'OSSIR	-

Alerte	Usurpation du SERVER_NAME
Référence	-
Affecte	IIS 5.0, 5.1, 6.0
Type de problème	La variable SERVER_NAME est positionnée en fonction du header HTTP renvoyé par le client. La valeur LOCALHOST identifie une navigation depuis le serveur lui-même et peut tromper l'application web pour accéder à des pages non autorisées. Crédit : http://ingehenriksen.blogspot.com/2005_08_01_ingehenriksen_archive.html
Exploitation	La méthode d'exploitation est triviale.
Avis de l'OSSIR	-

Alerte	"Directory Traversal" permettant de lancer des exécutables sous le process INETINFO.EXE
Référence	-
Affecte	IIS 5.x
Type de problème	Il semblerait possible de mener un déni de service sur le bus IDE en exécutant des requêtes vers un disque local et vers un lecteur de disquette. Crédit : http://ingehenriksen.blogspot.com/2005_08_01_ingehenriksen_archive.html
Exploitation	La méthode d'exploitation est publique (par exemple : http://localhost/%20c:/windows/system32/notepad.exe).
Avis de l'OSSIR	La présence d'un DoS n'est pas évidente.

Alerte	DoS sur ASP.NET
Référence	-
Affecte	ASP.NET
Type de problème	La fonction System.Xml.Serialization ne filtre pas correctement ses paramètres et peut utiliser 100% du CPU. Crédit : Bryan Sullivan, Sacha Faust (SPI Dynamics)
Exploitation	-
Avis de l'OSSIR	-

Alerte	"Buffer overflow" dans la préauthentification du client DameWare
Référence	-
Affecte	DameWare
Type de problème	La société est basée à "Mandeville, LA" près de la Nouvelle-Orléans donc pas de patch à attendre dans les prochaines semaines…
Exploitation	-
Avis de l'OSSIR	-

Alerte	Un autre problème méconnu de ASP.NET : une mauvaise utilisation de VIEWSTATE
Référence	-
Affecte	ASP.NET
Type de problème	Exemple de victime : MS GateKeeperSecurity Test http://www.theregister.co.uk/2005/05/11/ms_gatekeeper_test_fiasco Cf. http://scottonwriting.net/sowblog/posts/3747.aspx
Exploitation	-
Avis de l'OSSIR	-

Alerte	Faille dans REGEDIT
Référence	-
Affecte	Windows
Type de problème	Les clés de base de registre dont les données font entre 256 et 260 octets sont invisibles ! : la voie royale pour les virus.
Exploitation	-
Avis de l'OSSIR	-

Alerte	Phishing avec FireFox
Référence	-
Affecte	Firefox 1.0
Type de problème	La saisie de mots-clés dans la barre d'adresses renvoie vers l'URL de la première réponse de google. Par exemple : http://http:// renvoie sur la première réponse Google pour "http". C'est-à-dire : –"http" -> Microsoft –"https" -> PayPal Une adresse de type http://http://toto pourrait être exploitée pour réaliser du phishing.
Exploitation	-
Avis de l'OSSIR	-

Alerte	"TCP Zombie Attack"
Référence	-
Affecte	-
Type de problème	De nombreuses implémentations TCP/IP dont Windows sont concernées par cette attaque. En envoyant un paquet ACK avec un numéro de séquence invalide, il est possible de faire générer à la victime énormément de trafic Cf. http://www.securityfocus.com/bid/13215
Exploitation	-
Avis de l'OSSIR	-

Alerte	DoS sur ActiveSync
Référence	-
Affecte	ActiveSync <= 3.7.1
Type de problème	Connexions multiples sur le port TCP/5679. Crédit : Cisco ISS vs. Michael Lynn
Exploitation	-
Avis de l'OSSIR	-

Alerte	Exploitation fiable des Heap Overflow sous IOS
Référence	-
Affecte	-
Type de problème	Présenté à BH US 2005, s'agit-il de la violation d'un NDA concernant le code source Cisco ? Cf. http://www.securityfocus.com/news/11259 McAfee prétend avoir une signature dans son IDS. Cf. http://www.mcafeesecurity.com/us/about/press/corporate/2005/20050803_181545.htm Y-a-t-il un lien avec la compromission de la base d'utilisateurs du site Cisco.com peu de temps après la conférence ? Cf. http://software.silicon.com/security/0,39024655,39150991,00.htm
Exploitation	-
Avis de l'OSSIR	-

Alerte	Virus "PGPCoder"
Référence	-
Affecte	-
Type de problème	Il chiffre tous les fichiers .DOC / .XLS / etc. par PGP. L'auteur demande une rançon pour envoyer la clé privée.
Exploitation	-
Avis de l'OSSIR	-

Alerte	Retour d'un vieux bug dans Symantec AntiVirus
Référence	-
Affecte	Symantec AntiVirus9 < MR3
Type de problème	Il s'agit de l'exploit "shatterattack" dans le bouton droit "scan for viruses". Remarques : – Bug corrigé dans les versions 7.5.1b62 et 7.6.1b35a – Exemple parfait de "shatterattack" (il suffit de faire F1 pour exploiter)
Exploitation	-
Avis de l'OSSIR	-

Alerte	Une faille IE exploitable à venir …
Référence	-
Affecte	IE6 (Windows XP SP2)
Type de problème	SecurityProtocols annonce la présence d'une vulnérabilité d'Internet Explorer 6 sous Windows XP SP2. Cf. http://www.security-protocols.com/modules.php?name=News&file=article&sid=2891
Exploitation	-
Avis de l'OSSIR	-

Nouveaux outils

Aucun.

Autres infos

Windows XP "N"

Microsoft commercialise une version "allégée" de Windows XP (suite aux procès anti-trust).

Les sorties en Beta 1

• Windows Longhorn alias "Vista"
• WinFS (système de fichiers structuré)
• Acrylic (programme de dessin de la suite Office)
• Microsoft Shell alias "Monad" : le shell MSH intéresse déjà les auteurs de virus cf. http://www.zdnet.fr/actualites/informatique/0,39040745,39250635,00.htm

Publication de MBSA 2.0

La nouvelle version propose le support Supporte entre autres : Windows 2000 SP3, Office XP, Exchange 2000, SQL Server 2000 SP4.

http://www.microsoft.com/technet/security/tools/mbsahome.mspx

Une version 2 du SRP1 pour Windows 2000 en cours d'élaboration, sortie en beta le 13 septembre

http://support.microsoft.com/kb/891861

Comment utiliser la sécurité comme publicité

Microsoft publie un article (tout est dans le titre) "Read how Microsoft SQL Server 2000 on Windows Server 2003 experienced 144 fewer security vulnerabilities versus Oracle 10g on Red Hat Enterprise Linux 3.0".

http://go.microsoft.com/?linkid=3783138

"Cellphone virus threats: whytheyshouldn'tbedismissed"

http://www.microsoft.com/smallbusiness/resources/technology/security/cell_phone_virus_threats_why_they_shouldnt_be_dismissed.mspx

Microsoft envisage de racheter la société Claria

La société Claria est l'auteur du célébrissime spyware "Gator" (livré avec le codec DivX). En tout cas, le "threatlevel" de Gatora a diminué dans MS AntiSpyware ?

Le plus jeune MCP Microsoft a 9 ans

http://blogs.msdn.com/somasegar/archive/2005/07/13/438647.aspx

Le projet "Microsoft HoneyMonkey" identifie 752 pages Web qui installe du code via un "0day" dans IE

http://www.securityfocus.com/news/11273

Microsoft invente "Avalanche" pour contrer Bittorrent

http://www.research.microsoft.com/~pablo/avalanche.aspx

"Windows GenuineAdvantage" (WGA)

WGA est désormais obligatoire pour aller sur WindowsUpdate mais les mises à jour automatiques continuent de fonctionner. WGA possède un check spécifique "anti WINE" mais la clé de base de registre utilisée pour le test a été supprimée ? Cracké en 24h lors de sortie avec au moins 3 méthodes connues : (1) "Patcher" la DLL de vérification (2) utiliser un javascript:void(window.g_sDisableWGACheck='all') (3) Désactiver les ActiveX. Les deux dernières méthodes ne fonctionnent plus aujourd'hui.

Microsoft déclare la guerre à Google

Dans son programme "Web 2.0", Microsoft propose : l'accès à MSN Search via SOAP et l'ouverture des API (Microsoft Desktop Search, MSN Virtual Earth, MSN Messenger).

The "0day" initiative

Il s'agit d'une bourse au "0day", organisée par 3Com / TippingPoint.

http://www.zerodayinitiative.com

iDefense a été rachetée par Verisign

Le rachat du plus gros acheteur public de "0day" a pour conséquence de doubler le prix du "0day". A travers le programme "Growth", il est possible d'avoir un salaire annuel.

Rejet de la directive sur les brevets logiciels au parlement européen à une très large majorité

Carte animée des vulnérabilités Microsoft

http://www.hexview.com/vmaps.html

Le classement du SANS (vulnérabilités les plus dangereuses du 2ème trimestre)

• Produits Microsoft
– Microsoft Internet Explorer Multiple Vulnerabilities (MS05-020)
– Microsoft Internet Explorer Multiple Vulnerabilities (MS05-025)
– Microsoft Exchange Server Extended Verb Overflow (MS05-021)
– Microsoft Windows Message Queuing Service Overflow (MS05-017)
– Microsoft Windows SMB Protocol Processing Overflow (MS05-027)
– Microsoft Windows HTML Help File Parsing Overflow (MS05-026)
– Microsoft Windows Shell Remote Code Execution (MS05-016)
• Autres
– Computer Associates BrightStor ARCServe Backup Overflow
– Veritas Backup Software Multiple Vulnerabilities
– Computer Associates and Zone Alarm Vet Library Overflow
– Oracle Cumulative Update April 2005
– RealNetworks RealPlayer Multiple Vulnerabilities
– Apple iTunes MPEG4 File Processing Overflow
– Mozilla and Firefox Browsers Multiple Vulnerabilities
– Apple Cumulative Security Update 2005-005
– Apple Cumulative Security Update 2005-006

http://www.sans.org/top20/q2-2005update/detail.php