OSSIR Groupe Sécurité Windows

Transcription

1 OSSIR Groupe Sécurité Windows Réunion du du 7 février 2005 page 1

2 Revue s rnières vulnérabilités Microsoft Nicolas RUFF nicolas.ruff@elweb.fr page 2

3 Avis Microsoft (1/7) Avis sécurité Microsoft puis le le décembre 2004 MS vulnérabilité Wordpad Affecte Affecte :: Windows Windows NT4, NT4, 2000, 2000, XP, XP, Exploit Exploit :: double double "buffer "bufferoverflow" dans dans le le convertisseur convertisseur Word Word CAN CAN et et CAN CAN Avez-vous Avez-vous pensé pensé à à filtrer filtrer les les.wri.wri?? Crédit Crédit :: Greg Greg Jones Jones (KPMG (KPMG UK), UK), "Lord "Lord Yup" Yup" (idefense) (idefense) MS "buffer "bufferoverflow" dans dans DHCP DHCP Affecte Affecte :: Windows Windows NT4 NT4 Server Server Exploit Exploit :: double double "buffer "bufferoverflow" Requête Requête (CAN ) (CAN ) et et journalisation journalisation (CAN ) (CAN ) Crédit Crédit :: Kostya KostyaKortchinsky Kortchinsky MS vulnérabilité HyperTerminal Affecte Affecte :: Windows Windows NT4, NT4, 2000, 2000, XP, XP, Exploit Exploit ::"heap "heapoverflow" exploitable exploitable via via un un ".ht" ".ht" ou ou une une URL URL telnet:// telnet:// CAN CAN Exploitable Exploitable également également sous sous XP XP SP2 SP2 car car un un pointeur pointeur fonction fonction est est écrasé écrasé Crédit Crédit :: Brett BrettMoore page 3

4 Avis Microsoft (2/7) MS élévation(s) privilèges locale(s) Affecte Affecte :: 1/ 1/ Windows Windows NT4, NT4, 2000, 2000, XP, XP, / 2/ Windows Windows 2000, 2000, XP, XP, Exploit Exploit :: 1/ 1/ CAN CAN : : "heap "heap overflow" overflow" via via LPC LPC (détails (détails publiés) publiés) 2/ 2/ CAN CAN : : abus abus s s "intity "intity tokens" tokens" pour pour usurper usurper l'intité l'intité n'importe n'importe quel quel utilisateur utilisateur connecté connecté au au système système (détails (détails publiés) publiés) Crédit Crédit :: Cesar CesarCerrudo Cerrudo // AppSec AppSecInc. Inc. MS vulnérabilités WINS WINS Affecte Affecte :: Windows Windows NT4 NT4 Server, Server, Server, Server, Exploit Exploit ::"buffer "bufferoverflow" (CAN ) (CAN ) et et passage passage pointeur pointeur (CAN- (CAN ) ) Disponible Disponible dans dans Metasploit Metasploit Ver Ver ««WINSER WINSER»» (installe (installe le le cheval cheval Troie Troie ««HZDOOR HZDOOR»)») Crédit Crédit :: Kostya KostyaKortchinsky Kortchinsky page 4

5 Avis Microsoft (3/7) Re-release MS bogue GDI+ Nouveau logiciels impactés ::.NET.NET Framework et et 1.1, 1.1, FoxPro et et 9.0, 9.0, Messenger Avis sécurité Microsoft puis le le janvier 2004 MS Vulnérabilité(s) dans l ai HTML Affecte :: Windows 2000, 2000, XP, XP, Windows Windows NT4 NT4 peut peut être être impacté impacté si si IE IE 6 est est installé installé Exploit :: exécution script script dans dans la la zone zone poste poste travail travail via via HHCTRL.OCX (complexe) CAN CAN Alertes Alertes Analyse Analyse page 5

6 Avis Microsoft (4/7) PoC PoC Propagation Propagation dans dans la la nature nature du du cheval cheval Troie Troie "Phel" "Phel" Crédit Crédit :: Michael Michael Evanchik, Evanchik, Paul, Paul, et et d'autres d'autres Variante également patchée PoC PoC :: Crédit Crédit :: ShredrSub7 ShredrSub7 Notes Notes :: "hhctrl.ocx" "hhctrl.ocx" ne ne serait serait pas pas installé installé avec avec Windows Windows XP XP SP1 SP1 Mais Mais serait serait installé installé par par défaut défaut dans dans Windows Windows XP XP SP2 SP2 Il Il n'est n'est pas pas exclu exclu que que d'autres d'autres variantes variantes puissent puissent fonctionner fonctionner!! page 6

7 Avis Microsoft (5/7) MS Vulnérabilités multiples dans dans le le traitement s s fichiers images Affecte Affecte :: Windows Windows NT4, NT4, 2000, 2000, XP XP (sauf (sauf SP2), SP2), Exploit Exploit :: 1/ 1/ CAN CAN "Heap "Heap overflow" overflow" dans dans USER32!LoadImage() USER32!LoadImage() Exécution Exécution co co via via un un fichier fichier BMP BMP / / CUR CUR / / ANI ANI / / ICO ICO malformé malformé PoC PoC publié publié Patch Patch non non officiel officiel publié publié avant avant le le correctif correctif officiel officiel 2/ 2/ CAN CAN Déni Déni service service Windows Windows via via un un fichier fichier ANI ANI malformé malformé PoC PoC : : nombre nombre trames trames = = 0 0 Crédit Crédit :: 1/ 1/ eeye eeye 2/ 2/ Sylvain Sylvain Bruyere Bruyere page 7

8 Avis Microsoft (6/7) "0-day" initialement publiés par par FlashSky // XFocus Autre faille (non patchée celle-ci) :: "Heap "Heapoverflow" et et "integer overflow" dans dans "winhlp32.exe" Affecte Affecte :: toutes toutes les les versions versions Windows Windows (y (y compris compris SP2) SP2) Exploit Exploit :: fichier fichier.hlp.hlp malformé malformé MS Vulnérabilité dans le le service d inxation Affecte :: Windows 2000, 2000, XP XP (sauf (sauf SP2), SP2), Exploit :: CAN CAN "Buffer "Bufferoverflow" exploitable exploitable à travers travers IIS IIS ou ou un un accès accès distant distant au au service service d'inxation d'inxation via via SMB SMB (requière (requière une une authentification) authentification) Crédit Crédit :: N/A N/A page 8

9 Avis Microsoft (7/7) Le Le mois février s'annonce chaud 9 Microsoft Security Bulletins affecting Microsoft Windows. The The greatest aggregate, maximum severity rating rating for for these thesesecurity updates is iscritical. Some Someof ofthese theseupdates will willrequire a restart. 1 Microsoft Security Bulletin affecting Microsoft SharePoint Services and andoffice. The Thegreatest aggregate, maximum severity rating rating for for this this security bulletin is ismorate. These Theseupdates may mayor or may maynot notrequire a restart. 1 Microsoft Security Bulletin affecting Microsoft.NET.NET Framework. The The greatest aggregate, maximum severity rating rating for for this thissecurity bulletin is is Important. This This update update will willrequire a restart. 1 Microsoft Security Bulletin affecting Microsoft Office Office and andvisual Studio. The Thegreatest aggregate, maximum severity rating rating for for this this security bulletin is iscritical. These Theseupdates will willrequire a restart. 1 Microsoft Security Bulletin affecting Microsoft Windows, Windows Media Media Player, Player, and andmsn Messenger. The Thegreatest aggregate, maximum severity rating rating for for these thesesecurity updates is iscritical. These Theseupdates will will require a restart. page 9

10 Infos Microsoft (1/3) Windows 2003 SP1 SP1 RC1 RC1 /sp1/fault.mspx De De nombreuses nouveautés (un (un"xp SP2 SP2 like") like") Mo Mo "Update Rollup" pour Windows 2000 Prévu Prévu mi s/rollup.asp Rappel :: fin fin du du support "standard" à partir partir du du juin juin Programme "Microsoft Genuine" Vérification du du numéro licence Windows avant avant tout tout téléchargement A partir partir du du 7 février février :: obligatoire pour pour Norvège, Chine, Chine, République Tchèque page 10

11 Infos Microsoft (2/3) Microsoft rachète l'anti-spyware Giant Company La La Beta Beta1 du du nouveau produit est est disponible Microsoft abandonne Passport Défection ebay ebayet et Monster ssport31.html ssport31.html Des Des alternatives Liberty Liberty Alliance Alliance page 11

12 Infos Microsoft (3/3) Microsoft Security Risk Self Self Assessment Un Un outil outil d'auto-évaluation s s risques sécurité Microsoft EPAL Elevated Privileges Application Launcher Permet d'exécuter s s applications (enregistrées dans dans AD) AD) avec avec un un niveau niveau privilèges "administrateur" oads/epal.mspx Microsoft sortira son son propre antivirus en en Le Le produit est est une une fusion fusion :: Gecad GecadSoftware (base (base signatures) signatures) Pelican PelicanSoftware (analyse (analyse comportementale). comportementale). Windows XP XP Pro Pro bits bits passe en en RC1 RC1 page 12

13 XP SP2 (1/1) Contournement du du "popup blocker" Affecte :: IE IE 6 SP2 SP2 Exploit :: Crédit Crédit :: Liu LiuDie Yu Yu Microsoft publie discrètement un un correctif critique pour une une faille ICF ICF Lors Lors d'une d'une migration SP1 SP1 vers vers SP2, SP2, Internet peut peut être être considéré comme une une zone zone confiance dans dans ICF ICF Références Réunion Réunion OSSIR OSSIR du du 11/10/04 11/10/04 Correctif :: b3e6-d &displaylang=en Contournement la la protection du du "heap" sur sur XP XP SP2 SP2? page 13

14 Autres avis (1/6) Le Le chiffrement Office est est cassable Affecte :: Office Office 2000, 2000, XP XP (autres non non testés) testés) Exploit :: Crédit Crédit :: Hongjun Wu Wu Encore un un problème réutilisation flux flux RC4 RC "Buffer overflow" dans Acrobat Rear Affecte :: Acrobat AcrobatRear <= <= (Windows) (Windows) Acrobat AcrobatRear <= <= (Linux) (Linux) Exploit :: "Buffer "Bufferoverflow" dans dans la la fonction fonction maillistispdf() maillistispdf() Problème Problème dans dans la la gestion gestion s s fichiers fichiers ".etd" ".etd" Crédit Crédit :: Greg Greg MacManus Note Note :: les les mises mises à jour jour françaises tarnt à être être publiées!! page 14

15 Autres avis (2/6) Un Un bogue Google!! allegro.hit.gemius.pl = Résultat :: SEGFAULT Sortie HFNetChk Nombreuses nouveautés Ex. Ex. supporte supporte Apache Apache 1.3/ /2.0 et et Winzip Winzip Pour Pour concurrencer concurrencer WUS WUS? Attention à l'encodage RFC RFC 2397!! Des Des images ou ou s s exécutables peuvent être être inclus inclus en en Base64 dans dansle le corps corps d'un d'un ou ou d'une d'une page page Web Web Ex. Ex. <img <img src="data:image/gif;base64,/9j/4aaqsk Supporté par par nombreux clients clients (sauf (sauf IE IE!)!) A rapprocher d'un d'un "bogue" Outlook ? Les Les produits sécurité ne ne scannent pas pas (tous) (tous) ce ce type type contenu page 15

16 Autres avis (3/6) Promouvoir un un serveur NT4 NT4 en en PDC sans réinstallation :: UPromote Les Les failles PocketIE (la (la version Windows Mobile IE) IE) Rien Rien dramatique, car car les les capacités PocketIE sont sont très très limitées (pas (pas IFRAME) Netcraft sort sort sa sa barre anti-phishing bar_available_for_download.html Un Un étudiant condamné en en France pour "phishing" clients clients du du Crédit Crédit Lyonnais abusé abusé Préjudice euros euros 1 an an prison prison avec avec sursis sursis et et euros euros dommages et et intérêts page 16

17 Autres avis (4/6) - virus Alerte sur sur Zafi.D, Bagle.AY, Sober.J chez plusieurs éditeurs Propagation importante Des Des fichiers WMV infectés par par Trj/WmvDownloar Affecte :: Windows Media Media Player Player10 10 (Windows XP XP SP2) SP2) Utilisation du du système DRM DRM pour pour installer du du spyware (!) (!) Tegam vs. vs. Guillermito Motif Motif retenu retenu :: violation l'article du du co co la la propriété intellectuelle (désassemblage l'antivirus) Peine Peine requise :: 4 mois mois prison prison avec avec sursis sursis et et euros euros d'amen Jugement le le 8 mars mars page 17

18 Autres avis (5/6) bogues IE Un Un site site à surveiller "Directory Traversal" dans le le client FTP FTP d'ie d'ie Affecte :: IE IE 6 (sauf (sauf XP XP SP2) SP2) Exploit :: lorsque IE IE est est utilisé utilisé comme client client FTP, FTP, il il est est possible lui lui passer passer s s URLs URLsmalformées afin afin fausser la la stination du du téléchargement Source :: 7a69ezine IE IE peut envoyer un un mail mail via via une une URL URL ftp:// %0a%0d Bogue Bogue déjà déjà plus plus ou ou moins moins connu connu Source :: 7a69ezine Cross-site loading :: invocation scripts locaux par par une une page distante page 18

19 Autres avis (6/6) bogues IE Cross-site scripting via execscript() Affecte :: IE IE toutes versions (y (y compris XP XP SP2) Exploit :: m page 19

20 Questions / réponses Questions // réponses Date la la prochaine réunion Lundi 7 mars 2005 N'hésitez pas à proposer s sujets et et s salles page 20