OSSIR Groupe SécuritS. curité Windows. Réunion du du 7 mars 2005 EADS. Réunion OSSIR du 07/03/2005. page 1

Transcription

1 OSSIR Groupe SécuritS curité Windows Réunion du du 7 mars 2005 page 1

2 Revue des dernières res vulnérabilit s Microsoft Nicolas RUFF nruff@security-labs.org page 2

3 Avis Microsoft (16) Avis Avis de de sécurité Microsoft depuis depuis le le 7 février février MS MS vulnérabilité vulnérabilitédans la la validation validation des des chemins chemins ASP.NET ASP.NET Affecte Affecte.NET.NET Framework Framework et et Exploit Exploit remplacer remplacer le le caractère caractère par par \ \ ou ou %5C %5C permet permet de de contourner contourner les les contrôles contrôles d'accès d'accès aux aux pages pages ".aspx" ".aspx" (déj (déj connu) connu) Crédit Crédit MS MS "buffer "bufferoverflow" dans dans Office Office XP XP Affecte Affecte Office Office XP XP (uniquement) (uniquement) Exploit Exploit "buffer "buffer overflow" overflow" lorsque lorsque l'utilisateur l'utilisateur clique clique sur sur une une URL URL longue longue contenant contenant httpwww.myhost.commyfile.doc%00aa...aa.doc httpwww.myhost.commyfile.doc%00aa...aa.doc httpwww.hhs.govocrprivacysummary.rtf%0a"+mylongstring httpwww.hhs.govocrprivacysummary.rtf%0a"+mylongstring Crédit Crédit Rafel Rafel Ivgi Ivgi Finjan Finjan (exploit (exploit publié) publié) MS MS "cross-site "cross-sitescripting" scripting" et et spoofing spoofingd'adresse dans dans SharePoint SharePoint Affecte Affecte Windows Windows SharePoint SharePoint Services Services for for Windows Windows Server Server SharePoint SharePoint Team Team Services Services Exploit Exploit Crédit Crédit page 3

4 Avis Microsoft (26) MS fuite fuite d'information via via un un tube tube SMB SMB Affecte Affecte Windows Windows XP XP Exploit Exploit Un Un utilisateur utilisateur peut peut obtenir obtenir la la liste liste des des personnes personnes connectées connectées un un serveur serveur SMB SMB Le Le problème problème est est bien bien plus plus large large et et concerne concerne la la possibilité possibilité d'accéder d'accéder n'importe quel n'importe quel tube tube nommé nommé travers travers la la connexion connexion anonyme anonyme un un tube tube anonyme anonyme Crédit Crédit J.B. J.B. Marchand Marchand HSC HSC MS exécution de de code code travers un un évènement "drag "drag and anddrop" drop" Affecte Affecte Windows Windows 98, 98, 2000, 2000, XP, XP, (autres (autres versions versions non non supportées) supportées) Exploit Exploit Exploitable Exploitable dans dans une une page page Web Web Requière Requière une une interaction interaction utilisateur utilisateur Crédit Crédit MS "buffer "bufferoverflow" dans dans le le traitement des des PNG PNG Affecte Affecte Messenger Messenger 5.0, 5.0, 6.1, 6.1, 6.2, 6.2, Media Media Player Player9 (sauf (sauf XP XP SP2), SP2), Windows 98ME Windows 98ME Exploit Exploit exécution exécution de de code code l'ouverture l'ouverture d'un d'un fichier fichier PNG PNG Crédit Crédit Juliano JulianoRizzo Core CoreST ST (exploit (exploit publié) publié) page 4

5 Avis Microsoft (36) MS "buffer overflow" dans le le "license logging service" Affecte Windows NT4 NT4 Server, Server, Exploit "buffer "bufferoverflow" exploitable exploitable distance distance pour pour obtenir obtenir les les droits droits SYSTEM SYSTEM Basé Basésur sur le le service service LLSSRV.EXE LLSSRV.EXE et et le le tube tube LLSSRV LLSSRV Crédit Crédit Kostya Kortchinsky CERT CERT Renater MS "buffer overflow" dans le le driver SMB Affecte Windows 2000, 2000, XP, XP, Exploit Les Les réponses réponses FIND_FIRST2 FIND_FIRST2 et et QUERY_FILE_INFORMATION n'acceptent n'acceptent pas pas plus plus de de octets octets La La vulnérabilité vulnée se produit produit en en mode mode noyau noyau (!) (!) Attaque Attaque baptisée baptisée "GreenApple" "GreenApple" par par Immunity Immunity Crédit Crédit eeye eeye page 5

6 Avis Microsoft (46) MS vulné multiples OLECOM Affecte Windows 2000, 2000, XP, XP, Plus Plus les les applications applications utilisant utilisant OLE OLE Exchange Exchange 5.0, 5.0, 5.5, 5.5, 2000, 2000, 2003, 2003, Office Office XP, XP, Office Office2003 Exploit Élévation Élévation de de privilèges privilèges via via "COM "COM structured structuredstorage" storage" Exécution Exécution de de code code via via un un objet objet OLE OLE malformé malformé Crédit Crédit Cesar CesarCerrudo Application Security Inc. Inc. MS exécution de de code via via l'activex DHTML Affecte Windows 98ME, 98ME, 2000, 2000, XP, XP, Exploit le le composant DHTML (dhtmled.ocx) permet d'injecter des des scripts scripts dans dans une une autre autre page page via via execscript() Crédit Crédit page 6

7 Avis Microsoft (56) MS patch patch cumulatif pour pour IE IE Affecte Affecte IE IE 5.01, 5.01, 5.5, 5.5, Exploit Exploit Vulnérabilité Vulnérabilité "drag "drag and and drop" drop" Spoofing Spoofing dans dans le le décodage décodage d'url d'url par par double double encodage encodage "Heap "Heap overflow" overflow" dans dans le le composant composant DHTML DHTML "Cross "Cross domain domain scripting" scripting" via via "Channel "Channel Definition Definition Format" Format" (CDF) (CDF) Crédit Crédit Michael Michael Krax, Krax, Andreas Andreas Sandblad Sandblad Secunia Secunia Jouko Jouko Pynnönen Pynnönen Andreas Andreas Sandblad Sandblad Secunia Secunia MS "buffer "bufferoverflow" dans dans le le traitement des des liens liens hypertexte Affecte Affecte Windows Windows 98ME, 98ME, 2000, 2000, XP, XP, Exploit Exploit la la librairie librairie "Hyperlink "HyperlinkObject ObjectLibrary" contient contient un un "buffer "bufferoverflow" non non spécifié spécifié Crédit Crédit Anna Anna Hollingzworth Hollingzworth page 7

8 Avis Microsoft (66) Re-release MS "Buffer overflow" dans dans le le service SMTP SMTP Version Version Disponibilité Disponibilitéd'un d'un patch patch pour pour Exchange Exchange Server Server Date Date initiale initiale octobre octobre MS Vulnérabilité dans dans Office Office XP XP Version Version MS Vulnérabilité SharePoint Version Version FrontPage FrontPage n'est n'est pas pas affecté affecté MS Vulnérabilité "License Logging Service" Version Version Bulletins de de sécurité pour le le mois de de mars 0 Remarque il il y a souvent plus plus de de bulletins les les mois mois pairs pairs que que les les mois mois impairs page 8

9 Infos Microsoft (12) IE IE 7 sortira sortira finalement fin fin (avant (avant LongHorn) Changement Changement de de cap cap face face l'explosion l'explosion du du "phising" "phising" Microsoft AntiSpyware restera gratuit gratuit httpinformationweek.securitypipeline.comnews Un Un point point intéressant dans dans la la licence MS MS AntiSpyware Microsoft Microsoft engage engage sa sa responsabilité responsabilité hauteur hauteur de de $5 $5 en en cas cas de de destruction destruction de données de données intentionnelle intentionnelle ou ou non non httpnews.zdnet.com _ html "Les "Les spywares, ces ces mouchards qui qui vous vous espionnent" httpgo.microsoft.com?linkid= "Ce "Ce que que vous vous pouvez faire faire contre contre les les logiciels espions et et autres autreslogiciels indésirables" httpgo.microsoft.com?linkid= Microsoft rachète Sybari Sybari (Antigen) httpwww.sybari.comdesktopmodulespressreleasespressreleasesview.aspx?tabid=0&alias=rainbow&lang=en-us&itemid=386&mid=10409 page 9

10 Infos Microsoft (22) Distribution automatique de de XP XP SP2 SP2 par par Windows Update fixée fixée au au avril avril Rights RightsManagement Services (RMS) (RMS) Service Pack Pack 1 Prévu Prévu cette cette année année Plus Plus besoin besoin d'internet d'internet pour pour utiliser utiliser RMS RMS ISA ISA Server Server SP1 SP1 httpsupport.microsoft.com?kbid= Outil Outil MSRT MSRT Un Un "Stinger"-like "Stinger"-like La La version version "février "février 2005" 2005" recherche recherche virus virus Mis Mis jour jour tous tous les les mois mois avec avec les les bulletins bulletins de de sécurité sécurité Distribué Distribuéégalement également par par Windows Windows Update Update Nécessite Nécessite d'être d'être administrateur administrateur local local Envoie Envoie un un rapport rapport Microsoft Microsoft (!) (!) httpwww.microsoft.comsecuritymalwareremovedefault.mspx Microsoft Microsoft maintient maintient une une encyclopédie encyclopédie virale virale httpwww.microsoft.comsecurityencyclopediadetails.aspx?name=win32%2fzindos httpwww.microsoft.comsecurityencyclopediadetails.aspx?name=win32%2fzindos page 10

11 XP SP2 (11) Un comportement curieux Cliquer sur sur un un lien lien dans OE6 OE6 SP2 SP2 n'ouvre pas pas IE IE Par Par contre si si IE IE est est déj déjlancé le le lien lien est est ouvert page 11

12 Autres avis (13) Sortie de de FireFox Corrige le le bogue bogue "IDN" "IDN"(entre autres) "0-day" dans OWA permettant le le phishing Redirection du du login login par par une une URL URL malformée httpsecunia.comadvisories14144 "0-day" dans la la solution de de sauvegarde BrightStor ARCServe Permet la la prise prise de de contrôle du du serveur par par envoi envoi d'un d'un paquet paquet sur surle le port port TCP41523 httparchives.neohapsis.comarchivesbugtraq html Attaques ciblées par par "DNS Cache Poisoning" Attaque dite dite "pharming" Les Les produits Symantec sont sont particulièrement vulnérables Source SANS SANS ISC ISC page 12

13 Autres avis (23) La La société Shavlik va va faire son son propre antispyware Produit "NetChk Spyware" Destiné aux aux administrateurs et et non non aux aux end-users Payer $34.95 par par mois pour être être désinscrit des des listes de de spammers? httpwww.unsubscribenow.org L'imagination du du marketing n'a n'a pas pas de de limite limite Un Un remplacement OpenSource pour RIS RIS Unattended httpunattended.sourceforge.net Un Un remplaçant pour RunAs SUperior SU SU httpwww.stefan-kuhr.desupsumain.php3 Des Des fonctions en en plus plus (multi-desktop, etc.) etc.) page 13

14 Autres avis (33) - virus Les Les antivirus Windows ne ne scannent pas pas les les ".tgz" httpzeedo.blogspot.com200502multiple-av-vendors-ignoringtargz.html Encore des des problèmes avec les les décompresseurs des des antivirus "Buffer overflow" dans dans le le décompresseur ARJ ARJ de de F-Secure "Heap "Heapoverflow" dans dans le le décompresseur UPX UPX de de Symantec Un Un cheval de de Troie s'attaque l'anti-spyware de de Microsoft Nom Nom de de code code BankAsh.A SpyBank httpwww.silicon.frgetarticle.asp?id=8497 Alertes MyDoom.BB, etc. etc. page 14

15 Questions réponsesr Questions réponses Date de de la la prochaine réunion Lundi avril avril 2005 N'hésitez pas proposer des sujets et et des salles page 15