OSSIR Groupe SécuritS. curité Windows. Réunion du du septembre 2005 EADS. Réunion OSSIR du 12/09/2005. page 1

Transcription

1 OSSIR Groupe SécuritS curité Réunion du du septembre 2005 page 1

2 Revue s rnières res vulnérabilit s Nicos RUFF EADS-CCR nicos.ruff@eads.net page 2

3 Avis (1/8) (Avis sécurité puis le le juillet 2005) Juillet 2005 Bulletins "critiques" MS "buffer overflow" dans Word Affecte Word Word,, Word Word 2002, 2002, Works Works Exploit "Unico buffer buffer overflow" l'ouverture d'un d'un ".DOC" Crédit Crédit Lord Lord Yup Yup + idefense MS "buffer overflow" dans gestion s s profils couleur Affecte,,,, (tous (tous Service Packs) Packs) Exploit "buffer "buffer overflow" dans dans le le traitement s s profils profils couleur, exploitable un un site site Web Web ou ou un un Crédit Crédit Shih-hao Weng Weng page 3

4 Avis (2/8) MS Vulnérabilité "JView "JViewProfiler" Affecte Affecte JVM JVM intégrée intégrée dans dans SP4 SP4 SP0/SP1/SP2 SP0/SP1/SP2 SP0/SP1 SP0/SP1 Exploit Exploit exécution exécution co co une une applet applet Java Java Crédit Crédit - - Août 2005 Bulletins "critiques" MS Patch Patch cumutif pour pour IE IE Affecte Affecte IE IE (toutes (toutes versions) versions) Exploit Exploit "Buffer "Buffer overflow" overflow" une une image image JPEG JPEG "Cross-site "Cross-site scripting" scripting" (XSS) (XSS) WebDAV WebDAV "Buffer "Buffer overflow" overflow" dans dans le le composant composant scriptable scriptable DEVENUM.DLL DEVENUM.DLL Crédit Crédit Bernhard Bernhard Mueller Mueller / / Martin Martin Eiszner Eiszner (SEC (SEC Consult) Consult) NSFOCUS NSFOCUS page 4

5 Avis (3/8) MS Vulnérabilité "Plug "Plug and and Py" Py" Affecte Affecte SP4 SP4 SP1/SP2 SP1/SP2 SP0/SP1 SP0/SP1 Exploit Exploit exécution exécution co co distance distance le le compte compte SYSTEM SYSTEM manière manière anonyme anonyme RPC RPC par par un un utilisateur utilisateur authentifié authentifié RPC RPC SP1 SP1 par par un un administrateur administrateur local local SP2 SP2 / / Crédit Crédit Neel Neel Mehta Mehta (ISS (ISS X-Force) X-Force) Jean-Baptiste Jean-Baptiste Marchand Marchand (HSC) (HSC) Exploité Exploitépar par le(s) le(s) ver(s) ver(s) "Zotob" "Zotob" MS Vulnérabilité dans dans le le spooler d'impression Affecte Affecte SP4 SP4 SP1/SP2 SP1/SP2 SP0 SP0 Exploit Exploit exécution exécution co co distance distance le le compte compte SYSTEM SYSTEM Crédit Crédit Kostya KostyaKortchinsky Kortchinsky (CERT (CERT Renater) Renater) page 5

6 Avis (4/8) Bulletins "importants" MS Vulnérabilité dans dans le le service TAPI TAPI Affecte Affecte SP4 SP4 SP1/SP2 SP1/SP2 SP0/SP1 SP0/SP1 Exploit Exploit exécution exécution co co distance distance le le compte compte SYSTEM SYSTEM manière manière anonyme anonyme RPC RPC Server Server localement localement Pro Pro / / par par un un utilisateur utilisateur authentifié authentifié RPC RPC Crédit Crédit Kostya KostyaKortchinsky Kortchinsky (CERT (CERT Renater) Renater) MS DoS DoS RDP RDP Affecte Affecte SP1/SP2 SP1/SP2 SP0/SP1 SP0/SP1 Exploit Exploit un un paquet paquet malformé malforméprovoque un un écran écran bleu bleu Crédit Crédit Tom Tom Ferris Ferris (Security (Security Protocols) Protocols) Anciennement Anciennement connu connu http//go.microsoft.com/fwlink/?linkid=50422 http//go.microsoft.com/fwlink/?linkid=50422 page 6

7 Avis (5/8) MS Vulné Kerberos multiples Affecte SP4 SP4 SP1/SP2 SP1/SP2 SP0/SP1 SP0/SP1 Exploit Fuite Fuite d'information, d'information, déni déni service, service, spoofing spoofingd'intité d'intité PKINIT PKINIT Exécution Exécution co co distance distance le le compte compte SYSTEM SYSTEM? Sur Sur un un contrôleur contrôleur domaine domaine (port (port TCP/88 TCP/88 et et UDP/88) UDP/88) Crédit Crédit Tony Tony Chin Chin (Shell, (Shell, Inc.) Inc.) Andre AndreScedrov + stunts stunts (Pennsylvania (PennsylvaniaUniversity) page 7

8 Avis (6/8) Septembre 2005 Pas Pas bulletins sécurité Bulletins "non sécurité" Update (MU) (MU) Update (WU) (WU) Server Server Update Services (WSUS) Software Update Services (SUS) (SUS) page 8

9 Avis (7/8) Révisions MS MS mise mise jour jour s s effets effets bord bord MS MS Word Word Viewer Viewer est est affecté affecté également également MS MS ce ce bulletin bulletin ne ne rempce rempce pas pas MS MS MS MS nouveau nouveau correctif correctif pour pour et et MS MS Vulnérabilité Vulnérabilitédans dans le le client client Telnet Telnet publication publication d'un d'un correctif correctif pour pour SFU SFU et et MS MS "Buffer "Buffer overflow" overflow" dans dans les les profils profils ICC ICC cas cas où où le le redémarrage redémarrage requis requis MS MS Vulnérabilité Vulnérabilité "JView "JViewProfiler" mise mise jour jour s s méthos méthos détection détection MS MS Patch Patch cumutif cumutif pour pour IE IE mises mises jour jour variées variées MS MS Vulnérabilité Vulnérabilitédans dans le le service service TAPI TAPI mise mise jour jour section section 98/ME 98/ME MS MS Vulnérabilité Vulnérabilitédans dans le le spooler spooler d'impression d'impression mise mise jour jour s s "workarounds" "workarounds" page 9

10 Avis (8/8) Alertes [Q899588] Ver Ver Zotob Zotob Exploite Exploite faille faille PnP PnP [Q906267] "0day" "0day" publié publiésur sur MSDDS.DLL Affecte Affecte composant composant ActiveX ActiveX MSDDS MSDDS installé installépar par Visual Visual Studio Studio et/ou et/ou Office Office Exploit Exploit "heap "heapoverflow"? [Q906574] "Crification of of Simple Simple File File Sharing and and ForceGuest" Précise Précise les les conditions conditions d'exploitabilité d'exploitabilité MS MS [Q897663] Il Il est est possible créer créer s s exceptions dans dans le le firewall SP2 SP2 sans sans confirmation l'utilisateur [Q840123] Déni Déni service sur sur Exchange un un accès accès IMAP4 IMAP4 page 10

11 Infos (1/4) "N" "N" Version Version "allégée" "allégée" (suite (suite aux aux procès procès anti-trust) anti-trust) Les Les sorties sorties en en Beta Beta 1 Longhorn Longhorn alias alias "Vista" "Vista" WinFS WinFS (système (système fichiers fichiers structuré) structuré) "Acrylic" "Acrylic" (programme (programme ssin ssin suite suite Office) Office) Shell Shell alias alias "Monad" "Monad" Le Le shell shell MSH MSH intéresse intéresse déj déj les les auteurs auteurs virus virus http// http// Publication Publication MBSA MBSA http// http// Supporte Supporte entre entre autres autres + + SP3 SP3 Office Office + + Exchange Exchange + + SQL SQL Server Server SP4+ SP4+ Une Une version version 2 du du SRP1 SRP1 pour pour en en cours cours d'éboration d'éboration http//support.microsoft.com/kb/ http//support.microsoft.com/kb/ Sortie Sortie en en beta beta le le septembre septembre page 11

12 Infos (2/4) Comment utiliser utiliser sécurité comme publicité http//go.microsoft.com/?linkid= "Read "Read how how SQL SQL Server Server on on Server Server experienced experienced 144 fewer 144 fewer security security vulnerabilities vulnerabilities versus versus Oracle Oracle 10g 10g on on Red Red Hat Hat Enterprise Enterprise Linux 3.0" Linux 3.0" "Cell "Cellphone virus virus threats why whythey theyshouldn't be bedismissed" http// one_virus_threats_why_they_shouldnt_be_dismissed.mspx envisage racheter société Cria Cria Auteur Auteur du du célébrissime célébrissime spyware spyware "Gator" "Gator"(livré (livréavec le le coc coc DivX) DivX) En En tout tout cas cas le le "threat "threatlevel" Gator Gatora diminué diminuédans dans MS MS AntiSpyware AntiSpyware Le Le plus plus jeune jeune MCP MCP a 9 ans ans http//blogs.msdn.com/somasegar/archive/2005/07/13/ aspx Le Le projet projet " HoneyMonkey" intifie pages pages Web Web qui qui installe du du co co un un "0day" "0day" dans dans IE IE http// page 12

13 Infos (3/4) invente "Avanche" pour contrer Bittorrent http// " Genuine Advantage" (WGA) Désormais obligatoire pour pour aller aller sur sur Update Les Les mises mises jour jour automatiques automatiques continuent continuent fonctionner fonctionner Possè un un check check spécifique "anti "anti WINE" WINE" Mais Mais clé clé base base registre registre utilisée utilisée pour pour le le test test a été étésupprimée Cracké en en 24h 24h Au Au moins moins 3 méthos méthos connues connues "Patcher" "Patcher" DLL DLL vérification vérification javascriptvoid(window.g_sdisablewgacheck='all') javascriptvoid(window.g_sdisablewgacheck='all') Désactiver Désactiver les les ActiveX ActiveX page 13

14 Infos (4/4) décre guerre Google Programme "Web 2.0" 2.0" Accès Accès MSN MSN Search SOAP SOAP Ouverture s s API API Desktop Desktop Search Search MSN MSN Virtual Virtual Earth Earth MSN MSN Messenger Messenger page 14

15 Autres avis (1/7) Usurpation Usurpation du du SERVER_NAME SERVER_NAME Affecte Affecte IIS IIS 5.0, 5.0, 5.1, 5.1, Exploit Exploit variable variable SERVER_NAME SERVER_NAME est est positionnée positionnée en en fonction fonction du du hear hear HTTP HTTP renvoyé par renvoyé par le le client client Crédit Crédit http//ingehenriksen.blogspot.com/ http//ingehenriksen.blogspot.com/ "Directory "Directory Traversal" Traversal" permettant permettant ncer ncer s s exécutables exécutables le le process INETINFO.EXE process INETINFO.EXE Affecte Affecte IIS IIS 5.x 5.x Exploit Exploit http//localhost/%20c/windows/system32/notepad.exe http//localhost/%20c/windows/system32/notepad.exe Crédit Crédit http//ingehenriksen.blogspot.com/ http//ingehenriksen.blogspot.com/ DoS DoSsur sur ASP.NET ASP.NET Affecte Affecte pages pages ASP.NET ASP.NET Exploit Exploit fonction fonction System.Xml.Serialization System.Xml.Serialization ne ne filtre filtre pas pas correctement correctement ses ses paramètres paramètres et peut et peut utiliser utiliser 100% 100% du du CPU CPU Crédit Crédit Bryan Bryan Sullivan, Sullivan, Sacha Sacha Faust Faust (SPI (SPI Dynamics) Dynamics) "Buffer "Buffer overflow" overflow" dans dans préauthentification préauthentificationdu du client client DameWare DameWare La La société société est est basée basée "Manville, "Manville, LA" LA" près près Nouvelle-Orléans Nouvelle-Orléans donc donc pas pas patch patch attendre attendre dans dans les les prochaines prochaines semaines semaines page 15

16 Autres avis (2/7) Un Un autre problème méconnu ASP.NET une une mauvaise utilisation VIEWSTATE http//scottonwriting.net/sowblog/posts/3747.aspx Exemple victime MS MS GateKeeper Security Test Test http// Faille dans REGEDIT Les Les clés clés base base registre dont dont les les données font font entre entre et et octets octets sont sont invisibles!! La La voie voie royale royale pour pour les les virus virus Astuce FireFox http//http// renvoie sur sur première réponse Google pour pour "http" "http" C'est--dire "http" "http"->-> "https" "https"->-> PayPal PayPal http//http//toto exploitable pour pour du du phishing? page 16

17 Autres avis (3/7) "TCP "TCP Zombie Attack" Affecte Affecte nombreuses nombreuses implémentations implémentations TCP/IP TCP/IP dont dont Exploit Exploit en en envoyant envoyant un un paquet paquet ACK ACK avec avec un un numéro numéro séquence séquence invali, invali, il il est est possible possible faire faire générer générer victime victime énormément énormément trafic trafic http// Rejet Rejet directive sur sur les les brevets logiciels au au parlement européen A une une très très rge rge majorité majorité The The "0day" "0day" initiative http// Une Une bourse bourse au au "0day", "0day", organisée organisée par par 3Com 3Com // TippingPoint TippingPoint idefense (le (le plus plus gros gros acheteur public public "0day") a été étéracheté par par Verisign Conséquences Conséquences Le Le prix prix du du "0day" "0day" a a doublé doublé A travers travers le le programme programme "Growth", "Growth", il il est est possible possible d'avoir d'avoir un un saire saire annuel annuel page 17

18 Autres avis (4/7) DoS DoSsur ActiveSync Affecte ActiveSync <= <= Exploit connexions multiples sur sur le le port port TCP/5679 Cisco + ISS ISS vs. vs. Michael Lynn "Exploitation fiable fiable s s Heap Heap IOS" IOS" Présenté Présenté BH BH US US Viotion Viotion d'un d'un NDA NDA concernant concernant le le co co source source Cisco Cisco? http// McAfee prétend avoir avoir une une signature dans dans son son IDS IDS http// htm 1545.htm Compromission base d'utilisateurs du du site site Cisco.com http//software.silicon.com/security/0, , ,00.htm Peu Peu temps temps après après conf' conf' page 18

19 Autres avis (5/7) Virus "PGPCor" Chiffre Chiffre tous tous les les fichiers.doc.doc//.xls.xls// etc. etc. par par PGP PGP L'auteur man une une rançon pour pour envoyer clé cléprivée Références croisées (multi venurs) s s virus "dans nature" Dispo Dispo sur sur http// Retour d'un d'un vieux bug bug dans Symantec AntiVirus Affecte Symantec AntiVirus 9 < MR3 MR3 Exploit "shatter attack" dans dans le le bouton droit droit //"scan "scan for for viruses" Remarques Bug Bug corrigé corrigédans les les versions versions 7.5.1b b62 et et 7.6.1b35a 7.6.1b35a Exemple Exemple parfait parfait "shatter "shatterattack" attack" (il (il suffit suffit faire faire F1 F1 pour pour exploiter) exploiter) Une Une faille IE IE exploitable venir http// page 19

20 Autres avis (6/7) Inutile donc indispensable!! http// page 20

21 Autres avis (7/7) Le Le cssement du du SANS SANS (vulné les les plus plus dangereuses du du 2 ème trimestre) ème http// Produits Produits Internet Internet Explorer Explorer Multiple Multiple Vulnerabilities Vulnerabilities (MS05-020) (MS05-020) Internet Internet Explorer Explorer Multiple Multiple Vulnerabilities Vulnerabilities (MS05-025) (MS05-025) Exchange Exchange Server Server Extend Extend Verb Verb (MS05-021) (MS05-021) Message Message Queuing Queuing Service Service (MS05-017) (MS05-017) SMB SMB Protocol Protocol Processing Processing (MS05-027) (MS05-027) HTML HTML Help Help File File Parsing Parsing (MS05-026) (MS05-026) Shell Shell Remote Remote Co Co Execution Execution (MS05-016) (MS05-016) Autres Autres Computer Computer Associates Associates BrightStor BrightStor ARCServe ARCServe Backup Backup Veritas Veritas Backup Backup Software Software Multiple Multiple Vulnerabilities Vulnerabilities Computer Computer Associates Associates and and Zone Zone Arm Arm Vet Vet Library Library Oracle Oracle Cumutive Cumutive Update Update April April RealNetworks RealNetworks RealPyer RealPyer Multiple Multiple Vulnerabilities Vulnerabilities Apple Apple itunes itunes MPEG4 MPEG4 File File Processing Processing Mozil Mozil and and Firefox Firefox Browsers Browsers Multiple Multiple Vulnerabilities Vulnerabilities Apple Apple Cumutive Cumutive Security Security Update Update Apple Apple Cumutive Cumutive Security Security Update Update page 21

22 Questions / réponsesr Questions // réponses Date prochaine réunion Lundi octobre 2005 N'hésitez pas proposer s sujets et et s salles page 22