OSSIR Groupe SécuritS. curité Windows. Réunion du du février 2006 EADS. Réunion OSSIR du 13/02/2006. page 1

Transcription

1 OSSIR Groupe SécuritS curité Windows Réunion du du février 2006 page 1

2 Revue des dernières res vulnérabilit s Microsoft Nicolas RUFF EADS-CCR nicolas.ruff@eads.net page 2

3 Avis Microsoft (1/3) (Avis de de sécurité Microsoft depuis le le 9 janvier 2006) Janvier 2006 MS Patch WMF Affecte :: toutes toutes les les versions de de Windows depuis depuis Exploit :: ouverture d'un d'un fichier fichier image image corrompu Bulletins sorti sorti "hors "hors cycle" cycle" MS "Heap overflow" dans le le décodage des des polices EOT EOT Affecte :: toutes toutes les les versions de de Windows supportées Composant Composant T2EMBED.DLL T2EMBED.DLL Exploit :: une une police police de de type type EOT EOT (Embedded Open Open Type) Type) sérialisée dans dans un un mail, mail, une une page page Web, Web, Crédit Crédit :: eeye eeye page 3

4 Avis Microsoft (2/3) MS "Buffer overflow" dans le le support TNEF Affecte :: Outlook 2000/XP/2003, Exchange 5.5/2000 Exploit :: une une commande TNEF TNEF (Transport Neutral Encapsulation Format) passée dans dans un un mail mail La La fameuse fameuse pièce pièce jointe jointe "winmail.dat" "winmail.dat" Crédit Crédit :: John John Heasman et et Mark Mark Litchfield Février 2006 Windows Media Player :: 1 bulletin "important" Windows :: 4 bulletins allant jusqu'à "critique" Windows+Office :: 1 bulletin "important" Office :: 1 bulletin "important" page 4

5 Avis Microsoft (3/3) Advisories Q "BlackWorm", appelé appelémywife.e par par Microsoft Q Elévation de de privilèges locale locale via via des des permissions trop trop laxistes (cf. (cf. ci-après) Q Nouvelle faille faille WMF WMF (Heap (HeapOverflow) Affecte :: IE IE versions antérieures à IE6 IE6 SP1 SP1 Révisions MS Patch cumulatif sur sur IE IE Version Ajout Ajout d'une d'une référence au au "Kill "KillBit" page 5

6 Infos Microsoft (1/5) Microsoft va va vendre des des licences d'accès au au code source Windows 00.htm Rappel :: les les protocoles propriétaires Microsoft sont déjà déjàen en vente Microsoft Communications Protocol Program (MCPP) Exemples gratuits :: Tickets Tickets Kerberos Kerberos CIFS CIFS Windows XP XP et et Windows 2003 obtiennent la la certification EAL EAL Le Le profil profil de de protection :: page 6

7 Infos Microsoft (2/5) Le Le firewall Vista bloque aussi les les connexions sortantes Microsoft ferme un un blog sur sur MSN à la la demande du du gouvernement Chinois Contenait les les mots mots interdits "democracy" et et "human rights" rights" Microsoft contraint à supprimer une une fonction d'office suite à un un procès Fonction de de liaison liaison de de données Access -> -> Excel Excel (!) (!) Procès Amado vs. vs. Microsoft La La fonction sera sera enlevée dans dans Office Office SP2 SP2 page 7

8 Infos Microsoft (3/5) Il Il est est possible d'obtenir les les correctifs mensuels Microsoft sur sur une une image image ISO ISO Windows R2 R2 version finale finale Windows XP XP SP3 SP3 prévu prévupour pour mi-2007!! IE IE 7 Beta2 Beta2 pour pour Windows XP XP SP2 SP2 Windows OneCare Beta Beta Inclus Inclus un un antivirus antivirus Disponibilité du du "COM+ Hotfix HotfixRollup Rollup35" 35" pour pour Windows (Q910370) Corrige Corrige 5 nouveaux nouveaux bogues bogues dont dont 4 non non documentés documentés page 8

9 Infos Microsoft (4/5) page 9

10 Infos Microsoft (5/5) KMDF (Kernel Mode Driver Framework) disponible Nouveau modèle de de drivers pour Vista Seuls les drivers signés autorisés sur Vista 64 64? page 10

11 Autres avis (1/7) - failles Failles WiFi dans Windows Connues depuis depuis 1 an an mais mais forte forte publicité autour autour de de la la ShmooCon Plusieurs types types de de failles failles Windows Windows recherche recherche tous tous les les réseaux réseaux favoris favoris antérieurs antérieurs Windows Windows crée crée automatiquement automatiquement le le premier premier nœud nœud d'un d'un réseau réseau ad-hoc ad-hoc (si (si dans dans les les favoris) favoris) Entre Entre chaque chaque intervalle intervalle de de recherche, recherche, Windows Windows annonce annonce un un SSID SSID aléatoire aléatoire et et se se reconnecte reconnecte automatiquement automatiquement s'il s'il existe existe (!) (!) Certains Certains drivers drivers acceptent acceptent le le fallback fallbacken en clair clair même même sur sur des des réseaux réseaux WEP WEP Encore des des failles Oracle critiques failles failles critiques 5,00.html?source=x10 Certaines Certaines connues connues depuis depuis plus plus de de 3 ans ans Crédit Crédit :: page 11

12 Autres avis (2/7) - failles Tous Tous les les produits Avaya Avayabasés sur sur Windows sont sont vulnérables au au bogue bogue WMF WMF "0day" "0day" Winamp publié publiésur sur une une "mailing list" list" Mettre Mettre à jour jour en en version version "0day" "0day" dans dans Microsoft Help Help Workshop Risque Risque très très faible faible :: il il faut faut ouvrir ouvrir le le ".hhp" ".hhp" dans dans Help Help Workshop Workshop pour pour être être infecté infecté Pluie Pluie de de failles failles dans dans Mozilla/FireFox 8 failles failles patchées patchéesdans FireFox FireFox ].html 08].html Et Et une une faille faille non non patchée patchée La La propriété propriété "-moz-binding" "-moz-binding" permet permet d'exécuter d'exécuter des des scripts scripts et/ou et/ou d'accéder d'accéder aux aux cookies cookies page 12

13 Autres avis (3/7) - failles Attaque WinVal Framework d'audit d'audit des des permissions en en PROLOG Résultat :: les les services SSDP SSDP et et UPnP UPnPpeuvent être être configurés (SC_CHANGE_CONFIG) par par un un utilisateur non non privilégié L'attaque est est triviale triviale sc scconfig config weakservice weakservicebinpath=c:\attack.exe obj=".\localsystem" password="" password="" sc scstop stop weakservice weakservice sc scstart startweakservice Alerte Alerte Microsoft Q Nombreuses failles trouvées dans les les implémentations BlueTooth en en fuzzing Crédit Crédit :: Pierre Pierre Betouin page 13

14 Autres avis (4/7) virus et spywares Le Le "BlackWorm" Aucun Aucun intérêt intérêt technique technique Appli Appli Visual Visual Basic Basic se se propageant propageant par par mail mail Se Se propage propage également également via via les les partages partages réseau réseau et et la la commande commande AT AT Payload Payloaddangereux dangereux :: destruction destruction de de fichiers fichiers tous tous les les 3 du du mois mois Plus Plus de de 1 million million de de personnes personnes infectées infectées La La société Frame4 met met en en ligne ligne une une base base de de données de de souches virales virales Payante Payante pour pour les les codes codes les les plus plus récents récents AntiSpyware Coalition Symantec utilise utilise des des techniques de de "rootkit" pour pour sa sa corbeille protégée Fonction Fonction qui qui peut peut être être abusée abusée par par des des virus virus page 14

15 Autres avis (5/7) virus et spywares Un nouveau type de de ver :: le le blogworm page 15

16 Autres avis (6/7) Une Une analyse intéressante des des délais de de patch tml tml Recrudescence des des attaques en en extraction d'annuaire SMTP Etude Etude de de la la société Tumbleweed Le Le retour du du brevet logiciel en en Europe? Des Des chiffres sur sur l'utilisation de de FireFox le le dimanche Date Date :: mars mars Résultats :: Allemagne Allemagne 21% 21% France France 12% 12% UK UK 11% 11% page 16

17 Autres avis (7/7) L'indexation des métadonnées Office dans Windows Vista pose des problèmes à Gartner html La La plus grosses condamnation pour spam au au monde Robert Kramer vs. vs. James McCalla (spammer basé en en Floride) Condamné à 11,2 11,2 milliard de de dollars de de dommages et et intérêts html page 17

18 Questions / réponsesr Questions // réponses Date de de la la prochaine réunion mars 2006 N'hésitez pas à proposer des sujets et et des salles page 18