OSSIR Groupe SécuritS. curité Windows. Réunion du du mars 2006 EADS. Réunion OSSIR du 13/03/2006. page 1

Transcription

1 OSSIR Groupe SécuritS curité Windows Réunion du du mars 2006 page 1

2 Revue des dernières res vulnérabilit s Microsoft Nicolas RUFF EADS-CCR nicolas.ruff@eads.net page 2

3 Avis Microsoft (1/5) (Avis de de sécurité Microsoft depuis le le février 2006) Février 2006 MS // Q Corruption de de mémoire via via un un fichier WMF Affecte :: IE IE toutes toutes versions antérieures à IE6 IE6 SP1 SP1 Exploit :: Exécution Exécution de de code code Exploitable Exploitable sur sur Windows Windows et et XP XP pre-sp2 pre-sp2 MS "Buffer overflow" dans le le traitement des des images BMP par par Windows Media Affecte :: Windows Media Media toutes toutes versions Exploit :: exécution de de code code à l'ouverture d'un d'un.bmp/.wmp malformé Crédit Crédit :: Marc Marc Maiffret page 3

4 Avis Microsoft (2/5) MS "Buffer overflow" dans dans le le plugin plugin Windows Media Media Player Player Affecte Affecte :: Windows Windows Media Media Player Player toutes toutes versions versions Exploit Exploit :: exploitable exploitable via via un un tag tag "EMBED "EMBED SRC=" SRC=" dans dans un un navigateur navigateurautre autre que que IE IE Crédit Crédit :: John John Cobb Cobb MS DoS DoSvia via un un paquet paquet IGMP IGMP malformé Affecte Affecte :: Windows Windows XP/2003 XP/2003 toutes toutes versions versions Exploit Exploit :déni :déni de de service service distant distant Crédit Crédit :: Douglas Douglas Nascimento Nascimento MS "Buffer overflow" dans dans le le service WebClient Affecte Affecte :: Windows Windows XP/2003 XP/2003 toutes toutes versions versions Exploit Exploit :: exécution exécution de de code code à distance distance (via (via un un canal canal RPC RPC --nécessite nécessite d'être d'être authentifié) authentifié) Crédit Crédit :: Kostya KostyaKortchinsky Kortchinsky page 4

5 Avis Microsoft (3/5) MS Fonctions IME IME accessibles dans le le contexte SYSTEM Affecte :: Windows XP/2003 Coréen, Office Office Coréen Exploit :: Exécution Exécution de de code code dans dans le le contexte contexte SYSTEM SYSTEM Accessible Accessible via via la la fenêtre fenêtre d'authentification d'authentification Terminal Terminal Server Server Crédit Crédit :: Ryan Ryan Lee Lee MS Fuite d'informations dans PowerPoint Affecte :: Office Office Exploit :: Localisation du du dossier "Temporary Internet Files" Files" Crédit Crédit :: Yorick YorickKoster, Andreas Sandblad page 5

6 Avis Microsoft (4/5) Mars bulletin critique Office 1 bulletin important Windows 1 mise à jour jour non non sécurité pour MU MU et et WSUS Advisories Q MSDDS.DLL provoque un un DoS DoSdans IE IE Reconnaît que que le le problème a été étéfixé fixédans MS Q Attaque "Winval" Microsoft indique que que Windows XP XP SP2 SP2 et et Windows SP1 SP1 ne ne sont sont pas pas vulnérables Q Mise à jour jour pour IE IE page 6

7 Avis Microsoft (5/5) Révisions Q Permissions Windows trop trop laxistes Q > -> MS MS Version MS DoS DoSvia un un paquet IGMP malformé Version Déploiement automatique via via WUS, WUS, SUS, SUS, MS Version Problème avec avec WMP WMP MS Version Référence CAN MS Version Référence Q (problème avec avec dhtmled.ocx) page 7

8 Infos Microsoft (1/1) Monad MonadBeta Microsoft Office Office Live Live La La réponse réponse à SalesForce.com SalesForce.com? Windows Antispyware Beta1 Beta1 identifie les les produits Symantec comme des des spywares Windows Defender Beta2 Beta2 La La suite suite de de Microsoft Microsoft Antispyware AntispywareBeta1 4A6A-AFA4-F7F14E605A0D&displaylang=en Microsoft se se prononce contre contre la la prime prime idefense +$10,000 +$10,000 pour pour une une faille faille "critique" "critique" page 8

9 Autres avis (1/6) - failles La La faille WMF a été étévendue par par un un Russe à une une société de de spyware Prix Prix :: $4,000 $4,000 Date Date :: autour autour du du 1 er er décembre Vulnérabilité "Drag and and Drop" dans IE IE Affecte :: IE IE toutes toutes versions Exploit :: Permet Permet le le contournement contournement des des restrictions restrictions de de sécurité sécurité L'utilisateur L'utilisateur doit doit faire faire un un "drag "drag and and drop" drop" dans dans IE IE (!) (!) Crédit Crédit :: Matthew Murphy Ne Ne sera sera pas pas corrigée avant avant le le prochain SP SP page 9

10 Autres avis (2/6) - failles Vulné IE IE DoS DoSvia URLMON.DLL Affecte :: IE IE 7 Beta Beta 2 (autres non non testés) testés) DoS DoSvia JScript embarqué dans un un ActionScript (Flash) "Buffer overflow" dans VBScript/JScript Exploit :: DoS DoSvia une une Applet Java (machine Sun) Exploit :: "Buffer overflow" dans IsComponentInstalled() Corrigé silencieusement dans dans les les versions récentes d'ie d'ie Exploit :: ie_iscomponentinstalled.pm (Metasploit) page 10

11 Autres avis (3/6) virus et spywares Un Un "virus" MacOS X Fichier Fichier.tgz.tgzse se propageant par par messagerie et et ichat ichat Prétend être être une une preview de de "Mac "Mac OS OS X Leopard" Plusieurs versions en en circulation Des Des virus BlueTooth pour Nokia Series SymbOS.Sendtool.A SymbOS.Pbstealer.D SymbOS.Bootton.E Le Le virus "Crossfire" objet de de litige entre les les éditeurs antivirus et et la la MARA (Mobile Antivirus Research Association) Virus Virus trans-platformes (PC (PC->-> Windows Mobile) dont dont seule seule la la MARA MARA détient détient la la souche 8 ans ans de de prison pour avoir volé volé1 milliard d'adresses page 11

12 Autres avis (4/6) virus et spywares Les Les utilisateurs d'ie d'ie ont ont 20x 20x plus plus de de chances d'attraper un un spyware que que les les utilisateurs de de FireFox Un Un spyware "dormant" détourne 1 million million d'euros en en France France Se Se réveille réveille sur sur la la connexion connexion à une une banque banque en en ligne ligne Opération Opération organisée organisée depuis depuis l'ukraine l'ukraine Information Information fiable fiable? Semble Semble peu peu crédible crédible vu vu les les fraudes fraudes antérieures antérieures Le Le nombre de de sites sites de de phishing a doublé doubléen en décembre suite suite à la la publication d'un d'un toolkit toolkit AOL AOL poursuit en en justice justice les les groupes de de phishing page 12

13 Autres avis (5/6) Symantec abandonne L0phtCrack Nombreuses alternatives (ex. (ex. LCP) LCP) IBM IBM Allemagne ira ira sur sur Linux plutôt que que Vista Windows-Vista.htm?vc=1 ZoneAlarm 6.0, 6.0, un un spyware? Le Le Royaume-Uni va-t-il demander à Microsoft de de mettre une une backdoor dans Vista? Fonctions de de sécurité basées sur sur le le TPM TPM réputées "inviolables" Ex. Ex. chiffrement chiffrement BitLocker BitLocker page 13

14 Autres avis (6/6) Yahoo et et AOL relance l'idée de de l' payant Les Les associations caritatives se se prononcent contre page 14

15 Questions / réponsesr Questions // réponses Date de de la la prochaine réunion avril avril 2006 N'hésitez pas à proposer des sujets et et des salles page 15