EdelWeb. OSSIR Groupe SécuritS. curité Windows. Réunion du du 8 novembre EdelWeb/Groupe ON-X. Réunion OSSIR du 08/11/2004.

Transcription

1 OSSIR Groupe SécuritS curité Windows Réunion du du 8 novembre 2004 page 1

2 Revue s rnières res vulnérabilit s Microsoft Nicolas RUFF nicolas.ruff@elweb.fr page 2

3 Avis Microsoft (1/7) Avis sécurité Microsoft puis octobre 2004 Le Le festival Windows XP XP SP2 SP2 n est n est en en général pas pas affecté affecté MS :: fail fail RPC RPC (variante du du bogue bogue DCOM) Affecte Affecte :: Windows Windows NT4 NT4 uniquement uniquement Exploit Exploit :: Déni Déni service, service, fuite fuite d information d information contenu contenu la la mémoire mémoire Problème Problème dans dans la la fonction fonction rpc mgmt_inq_stats() rpc mgmt_inq_stats() Crédit Crédit :: BindView BindView MS :: fail fail dans dans s s messages WebDAV XML XML Affecte Affecte :: Windows Windows 2000, 2000, XP, XP, Exploit Exploit :: Déni Déni service service IIS IIS Publié Publié Internet Internet Crédit Crédit :: Sanctum Sanctum page 3

4 Avis Microsoft (2/7) MS :: fail fail NetDDE ("buffer overflow") Affecte Affecte :: Windows Windows NT4, NT4, 2000, 2000, XP, XP, Exploit Exploit :: exécution exécution co co à distance distance sous sous compte compte SYSTEM SYSTEM Crédit Crédit :: NGS NGS MS vulné Windows multips Affecte Affecte :: Windows Windows NT4, NT4, 2000, 2000, XP, XP, Exploit Exploit :: Élévation Élévation privilèges privilèges vers vers SYSTEM SYSTEM à à travers travers gestionnaire gestionnaire fenêtres fenêtres ("shatter ("shatter attack") attack") Élévation Élévation privilèges privilèges loca loca vers vers SYSTEM SYSTEM à à travers travers la la machine machine virtuel virtuel DOS DOS (VDM) (VDM) Vulnérabilité Vulnérabilité dans dans traitement traitement s s fichiers fichiers EMF EMF et et WMF WMF (publiée (publiée Internet Internet en en février février !)!) Déni Déni service service local local dans dans noyau noyau Windows Windows Crédit Crédit :: Brett Brett Moore, Moore, eeye, eeye, Winternals, Winternals, "hlt" "hlt" Remarque Remarque :: possib possib incompatibilité incompatibilitéavec avec produit produit CA CA Unicenter UnicenterSoftware Delivery Delivery (USD) (USD) version version <= <= page 4

5 Avis Microsoft (3/7) MS fail Excel Affecte :: Office Office 2000, 2000, XP, XP, pour pour Mac, Mac, X pour pour Mac Mac Exploit ::"buffer "bufferoverflow" trivial trivial La La longueur longueur indiquée indiquée d'une d'une chaîne chaîne caractères caractères est est utilisée utilisée pour pour copier copier cette cette chaîne chaîne sans sans vérification vérification Crédit Crédit :: Brett BrettMoore MS fail dans traitement s s fichiers ZIP ZIP Affecte :: Windows XP, XP, Exploit ::"Buffer overflow", sans sans doute doute trivial trivial à exploiter Crédit Crédit :: eeye eeye MS fail SMTP Affecte :: moteur SMTP SMTP Windows XP, XP, 2003, 2003, Exchange Exploit ::"buffer "bufferoverflow" dans dans traitement s s réponses DNS DNS Crédit Crédit :: N/D N/D page 5

6 Avis Microsoft (4/7) MS fail NNTP Affecte :: Windows NT4 NT4 Srv, Srv, Srv, Srv, 2003, 2003, Exchange 2000, 2000, Exchange Exploit :: Publié Publié Internet Internet avec avec moult moult détails détails "Buffer "Bufferoverflow" dans dans la la comman comman "XPAT" "XPAT" Crédit Crédit :: Core CoreSDI MS fail dans shell Windows Affecte :: Windows NT4, NT4, 2000, 2000, XP, XP, Exploit ::"buffer "bufferoverflow" dans dans s s programmes locaux, dont dont "convertisseur groupes programmes" (un (un utilitaire migration Win Win ). ). Exploitab via via une une URL. URL. Crédit Crédit :: Yorick YorickKoster (ITsec (ITsecSecurity SecurityServices), Services), Roozbeh RoozbehAfrasiabi page 6

7 Avis Microsoft (5/7) MS patch cumulatif pour IE IE Affecte :: IE IE 5.0, 5.0, 5.5, 5.5, (y (y compris la la version XP XP SP2) SP2) Fails Fails corrigées :: "Heap "Heapoverflow" dans dans traitement traitement s s CSS CSS "Cross-domain "Cross-domainscripting" scripting" via via s s noms noms métho métho similaires similaires "Buffer "Bufferoverflow" dans dans moteur moteur d'installation d'installation (inseng.dll) (inseng.dll) Fail Fail "drag n drop" "drag n drop"(publiée en en août août et et largement largement exploitée) exploitée) Spoofing Spoofingd'URL d'url s s systèmes systèmes DBCS DBCS Spoofing Spoofingd'URL d'urlvia via plugin plugin "navigation" "navigation" Téléchargement Téléchargement fichiers fichiers via via s s "image "image tags" tags" Exécution Exécution scripts scripts via via cache cache SSL SSL Crédit Crédit :: Greg Greg Jones Jones (KPMG), (KPMG), NGS, NGS, ACROS ACROS Security Security page 7

8 Avis Microsoft (6/7) Re-rease MS Fail Fail GDI+ GDI+ dite dite "fail "fail JPEG" JPEG" Raison Raison :: mise mise à jour jour la la section section Office Office XP, XP, Visio Visio 2002, 2002, Project Project Crédit Crédit d'origine d'origine :: Nick Nick DeBaggis DeBaggis Mise Mise à jour jour s s outils outils détection GDI GDI Scan Scanv2 v2 :: Enterprise Enterprise Scanning Scanning Tool Tool Update Update (cf. (cf. Q886988) Q886988) SMS SMS Scanning Scanning Tool Tool (cf. (cf. Q885920) Q885920) Problème :: co co défaillant est est partagé par par nombreuses DLLs DLLs!! GDIPLUS.DLL GDIPLUS.DLL mais mais aussi aussi MSO.DLL, MSO.DLL, VGX.DLL, VGX.DLL, SXS.DLL, SXS.DLL, page 8

9 Avis Microsoft (7/7) Précisions la la fail "ASP.NET" Un Un scanner a été étépublié Nouvel Nouvel artic artic mais mais rien rien vraiment neuf neuf Installation Installation du du modu modu ValidatePath ValidatePath Ajout Ajout d'un d'un test test normalisation normalisation s s URLs URLsdans toutes toutes s s pages pages ASP ASP page 9

10 Infos Microsoft (1/2) Microsoft s intéresse au au problème du du Spyware Bill Bill Gates Gates a indiqué que que Microsoft travaillait une une solution "Mon "Mon PC PC n a n a jamais jamais été étéinfecté infectépar par un un virus, virus, mais mais j'ai j'ai eu eu s s spywares" spywares" Bill Bill G. G. Sensibilisation en en français Chat Cyril Voisin 01Net "Dans "Dans ux ux ans, ans, SP1 SP1 ne ne sera sera plus plus supporté et et rendra rendra SP2 SP2 indispensab." Le Le "Virtual Lab" Microsoft page 10

11 Infos Microsoft (2/2) Exchange 2003 "Best Practices Analyzer" milyid=dbab201f-4bee-4943-ac22-e2ddbd258df3 Le Le processus gestion s s correctifs en en entreprise :: méthos recommandées Processus qualification s s correctifs Utilisation MBSA, MBSA, MSUS MSUS ou ou SMS SMS "Microsoft Security Bultin Advance Notification" Préarte s s correctifs sécurité à J-3 J Ex. Ex. en en novembre, bultin "important" ISA ISA Server Server page 11

12 XP SP2 (1/1) Désactiver Security Center HKLM\SOFTWARE\Microsoft\Security Center Clés type type REG_DWORD :: AntiVirusDisabNotify FirewallDisabNotify UpdatesDisabNotify Vaurs 1 = Do Do Not NotDisplay Art Art 0 = Display Art Art Remarque :: s détections du du Security Center fonctionnent à l'ai WMI La La licence DRM Media Player :: intéressant page 12

13 Autres avis (1/5) Deux fails IE IE non non patchées permettant contourner s s zones sécurité Affecte :: IE IE (y (y compris XP XP SP2) SP2) Exploit :: 1/ 1/ Variante Variante "drag "drag& drop" drop" Repose Repose la la priorité priorité s s attributs attributs SRC SRC / / DYNSRC DYNSRC dans dans tag tag IMG IMG 2/ 2/ Utilisation Utilisation s s fichiers fichiers ".hhk" ".hhk"(inx d'ai) d'ai) Crédit Crédit :: Secunia, http-equiv Co Co d'exploitation publié publié Internet Utilise Utilise la la métho métho "adodb.recordsets.save" Passabment Passabment compxe compxe!! Workaround :: mettre mettre Kill KillBit Bit contrô "Shell.Explorer" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Explorer\ActiveX Compatibility\{8856F A-11D0-A96B-00C04FD705A2}] "Compatibility "Compatibility Flags"=dword: page 13

14 Autres avis (2/5) Régression dans traitement s s scripts XML par par IE IE Réintroduction du du bogue bogue MS Bogues dans s s navigateurs Le Le focus focuspeut être être transféré à tout tout moment Des Des boites boites dialogue peuvent apparaître à tout tout moment Fail dans l'outil CABARC Microsoft Il Il est est possib d'extraire s s fichiers hors hors la la racine racine en en utilisant la la syntaxe "../fichier" Exploit :: Crédit Crédit :: Jelmer Jelmer page 14

15 Autres avis (3/5) Un Un "fuzzer" pour navigateurs Web Crashe tous tous s s navigateurs du du marché Ex. Ex. IE IE :: Conséquence :: un un co d'exploitation fiab est est disponib dans la la nature!! Exploit :: utiliser utiliser un un tag tag IFRAME plus plus caractères Erreur Erreur trivia trivia (utilisation wcscpy()), corrigée dans dans SP2 SP2!! Un Un Crash Test Test intéressant pour Windows for for %i %i in in (*.exe) (*.exe) do do start start %i %i%n%n%n... for for %i %i in in (*.exe) (*.exe) do do start start %i %i AAAAAA... thrashlm :: un un outil pour effacer s s hashes LM LM page 15

16 Autres avis (4/5) De De nombreux antivirus traitent incorrectement s s fichiers ZIP ZIP Affecte :: McAfee, McAfee, Computer Computer Associates, Associates, Kaspersky, Kaspersky, Sophos, Sophos, Eset, Eset, RAV RAV Des Des mises mises à jour jour sont sont disponibs disponibs N'affecte pas pas :: Symantec, Symantec, Bitfenr, Bitfenr, Trend Trend Micro, Micro, Panda Panda Seus Seus s s rnières rnières versions versions ont ont été ététestées testées Exploit :: Si Si tail tail annoncée annoncée du du fichier fichier compressé compressé = 0 dans dans l'entête l'entête ZIP, ZIP, fichier fichier n'est pas n'est pas scanné scanné Des Des virus virus peuvent peuvent ainsi ainsi passer passer sans sans être être détectés détectés Source :: idefense idefense Succès inattendu pour Bag.AT Rien Rien révolutionnaire, mais mais infection massive néanmoins De De nombreux CERTs CERTsont ont émis émis une une arte arte page 16

17 Autres avis (5/5) Un Un auteur auteur spyware arrêté arrêté Sanford SanfordWallace, "roi "roi du du spam" spam" Il Il fabrique fabrique à la la fois fois s s spywares spywareset et ur ur antidote antidote (payant) (payant): : SpyDeter SpyDeter IE IE perd perd s s parts parts marché De De 95,5% 95,5% en en juin, juin, cel-ci cel-ci est est 92,9% 92,9% en en octobre octobre N 2 N 2 :: Firefox Firefox (6%) (6%) N 3 N 3 :: Safari Safari et et Opera Opera L'image s s moniteurs CRT CRT peut peut être être reconstruite à partir partir la la lumière émise émise "The "TheSource Co Co Sharing Club" Club" Disponibilité Disponibilitédu du co co source source Cisco CiscoPix Pix6.3.1 Prix Prix :: $24,000 $24,000 page 17

18 Questions / réponsesr Questions // réponses Date la la prochaine réunion Lundi décembre 2004 N'hésitez pas à proposer s sujets et et s sals page 18