OSSIR

 

Sécurité des systèmes Windows

Base OSWIN v2

Site expérimental

Dernières mises à jour

Ressources
XP SP2
Guides de sécurité
Outils

Avis de sécurité Windows

Accès à l'ancienne base

Site officiel de l'OSSIR

Forum (N/D)

Contact

Rechercher sur ce site :


The Web OSWIN

Site réalisé, maintenu et hébergé par EdelWeb

Le Service Pack 2 pour Windows XP

Nouveautés
Les "trucs" à connaitre
Principaux problèmes documentés
Les failles de sécurité déjà découvertes ...
L'avis de l'OSSIR

Nouveautés

Le Service Pack 2 apporte un lot de nouveautés inégalé pour un Service Pack dans l'histoire de Microsoft.

Outre les corrections de bogues (on peut suspecter qu'il ne seront pas tous documentés), des nouveautés fondamentales sont apportées en matière de sécurité :

  • La présence d'un Firewall (ICFv2) bloquant par défaut toutes les connexions entrantes (mesure visant principalement les utilisateurs domestiques).
  • La recompilation de tous les exécutables du système avec un mécanisme de protection générique contre les "buffer overflow" (le /GS de Visual Studio 2003).
  • La protection générique contre les "heap overflow" à l'aide d'un cookie mémoire.
  • Des options de sécurité additionnelles visant à lutter contre les vecteurs d'attaque déjà exploités, en particulier DCOM.

Un document de référence, publié par Microsoft, documente les principales nouveautés en matière de sécurité (mais pas toutes) :
http://go.microsoft.com/fwlink/?LinkId=28022

Les "trucs" à connaitre

Bloquer/débloquer l'installation du SP2 via Windows Update :
(Attention ! Cette clé n'a qu'un effet limité dans le temps - Microsoft fixera une date d'installation obligatoire du SP2)
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP2
Les outils de déploiement de cette option :
http://www.microsoft.com/downloads/details.aspx?familyid=8bce6bba-ea5d-4425-89c1-c1cb1ccd463c&displaylang=en
http://www.microsoft.com/downloads/details.aspx?familyid=b2300c7b-f3d7-48d6-b86c-1256c0321727&displaylang=en

Intégrer le SP2 dans un CD d'installation (opération de "slipstreaming") :
http://www.windows-help.net/windowsxp/winxp-sp2-bootcd.html
Pour faire court : sp2.exe /integrate:drive/path

Les release notes du SP2 :
http://support.microsoft.com/default.aspx?scid=835935

Les outils de déploiement :
http://support.microsoft.com/default.aspx?kbid=838080

La mise à jour des Support Tools :
http://support.microsoft.com/default.aspx?kbid=838079

Les 20 numéros de série pirate les plus utilisés ont été blacklistés :
http://www.vnunet.com/news/1155202

Principaux problèmes documentés

* L'application du SP2 provoque des incompatibilités logicielles, principalement dues à 3 vecteurs :

  • Le Firewall ICF v2 actif par défaut
  • La protection contre les "buffer overflows" et les "heap overflow"
  • Les restrictions sur DCOM

La liste des applications reconnues comme problématiques :
http://support.microsoft.com/default.aspx?kbid=884130

La liste des applications pouvant se comporter différemment :
http://support.microsoft.com/default.aspx?kbid=886264

* Le nombre de connexions TCP "half-open" sortantes simultanées limitées à 10.
Attention aux mauvaises interprétations ! Le nombre de connexions "totales" est paramétrable par la clé :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ TcpNumConnections

Par contre le nombre de connexions "half-open" n'est pas paramétrable. Différents patches pour TCPIP.SYS circulent sur Internet, car cette modification impacte fortement des logiciels tels que les scanneurs de ports et les applications de P2P. La stabilité du système après une telle modification n'est pas garantie ...

* Les "raw sockets" ne sont plus supportées en émission.

"We have removed support for TCP sends over RAW sockets in SP2. We surveyed applications and found the only apps using this on XP were people writing attack tools."

* Pour plus d'informations, le site de retour d'expérience du SANS (en anglais) :
http://isc.sans.org/xpsp2.php

 

Les failles de sécurité déjà découvertes ...

* Un programme peut modifier le statut du Security Center via WMI.
http://www.pcmag.com/article2/0,1759,1639276,00.asp

* Les applications lancées par CMD ignorent les zones de sécurité.

En effet désormais Windows conserve la zone de sécurité (appellée "Zone ID") des applications dans un Alternate Data Stream (ADS). Ainsi une application téléchargée depuis Internet continue à provoquer l'apparition d'un message d'alerte une fois exécutée depuis le disque local, ce qui est plutôt une bonne chose pour la sécurité (même si la sécurité basée sur les choix des utilisateurs est discutable).

Toutefois il a été identifié que l'exécution d'une application à travers CMD ne bénéficie pas de cette protection, car CMD ne fait appel à l'API ShellExecuteEx().

D'autre part lors de l'appel à ShellExecuteEx(), la fonction CSecurityManager::MapUrlToZoneInternal() utilise un cache pour mémoriser le "ZoneID" du composant exécuté. Ce cache n'est pas rafraîchi si le composant change de zone et la taille du cache est de 4 entrées, ce qui permet également (dans certaines conditions très particulières) de contourner cette sécurité.

* ICF SP2 : le partage de fichiers active automatiquement le PING.

Si l'exception "partage de fichiers" est autorisée dans ICF v2, la machine redevient visible au PING. En effet le PING est utilisé dans les réseaux Windows pour mesurer la vitesse de connexion.
http://support.microsoft.com/default.aspx?scid=kb;en-us;816045

* L'installation du SP2 sur un SP1 peut provoquer des permissions dangereuses.
http://www.pcwelt.de/know-how/extras/103039/

Problème : Windows XP SP2 autorise le partage de fichiers sur les interfaces Dial-Up si elle est autorisée sur le LAN.

Conséquence : l'installation de Windows XP SP2 sur un système SP1 ayant autorisé le partage de fichiers sur un LAN rend les partages de fichiers visibles sur les interfaces Dial-Up !

* Les restrictions sur les accès anonymes ne sont pas les mêmes que dans Windows 2003.

Les droits d'accès anonymes "en dur" ont été supprimés du noyau, mais il reste possible d'énumérer les comptes anonymement via les exceptions enregistrées par défaut dans la base de registre (ex. \pipe\browser).

 

L'avis de l'OSSIR

Compte tenu :

  • du nombre de failles corrigées Windows XP SP2 (il s'en découvre tous les jours),
  • de l'intégration de mesures de protection proactive dans le système,
  • de la politique de support Microsoft,

Il semble urgent de migrer au plus tôt vers Windows XP SP2 ...

A l'usage les incompatibilités s'avèrent peu nombreuses, sauf avec les applications utilisant le réseau de manière intensive.