OSSIR Groupe SécuritS. curité Windows. Réunion du du 9 octobre 2006 EADS. Réunion OSSIR du 09/10/2006. page 1

Transcription

1 OSSIR Groupe SécuritS curité Windows Réunion du du 9 octobre 2006 page 1

2 Revue des dernières res vulnérabilit s Microsoft Nicolas RUFF EADS-CCR nicolas.ruff@eads.net page 2

3 Avis Microsoft (1/3) (Avis de de sécurité Microsoft depuis le le septembre 2006) Septembre 2006 MS Vulnérabilité le le protocole PGM PGM (Pragmatic General Multicast) Affecte Affecte :: Windows Windows XP XP SP1/SP2 SP1/SP2 Exploit Exploit :: exécution exécution de de code code à distance distance Crédit Crédit :: David David Warden Warden // NuPaper NuPaper MS "Cross-site scripting" le le service d'indexation Affecte Affecte :: Windows Windows toutes toutes versions versions supportées supportées Exploitation Exploitation via via Internet Internet Explorer Explorer Exploit Exploit :: contournement contournement des des filtres filtres anti-xss anti-xss par par encodage encodage UTF-7 UTF Crédit Crédit :: Eiji EijiJames Yoshida Yoshida page 3

4 Avis Microsoft (2/3) MS Exécution de de code code via via Publisher Affecte Affecte :: Office Office SP3, SP3, Office Office XP XP SP3, SP3, Office Office SP1/SP2 SP1/SP2 Exploit Exploit :: exécution exécution de de code code à l'ouverture l'ouverture d'un d'un ".pub" ".pub" Crédit Crédit :: Stuart Stuart Pearson Pearson // Computer Computer Terrorism Terrorism MS Exécution de de code code via via un un script script VML VML [[ bulletin hors hors cycle cycle ]] Affecte Affecte :: Internet Internet Explorer Explorer toutes toutes versions versions supportées supportées Exploit Exploit :: exécution exécution de de code code ("buffer ("buffer overflow" overflow" setslice()) setslice()) Crédit Crédit :: ISS, ISS, idefense, idefense, Dan Dan Hubbard Hubbard // Websense Websense Révisions MS Version Version :: problème problème Q Q corrigé corrigé MS Version Version :: nouveau nouveau "buffer "buffer overflow" overflow" corrigé corrigé les les URLs URLslongues page 4

5 Avis Microsoft (3/3) Advisories Q Q Vulnérabilité VulnérabilitéFlash Player Player Installer Installer Flash Flash (les (les versions versions 8 8 et et antérieures antérieures ne ne sont sont plus plus supportées) supportées) Q Q Problème Problème d'incompatibilité d'incompatibilitéavec avec les les "minifilters" "minifilters" réseau réseau Lien Lien avec avec la la sécurité sécurité => => pas pas de de WindowsUpdate WindowsUpdate (erreur (erreur 0x ) 0x ) Q Q Vulnérabilité Vulnérabilité le le contrôle contrôle ActiveX ActiveX "DirectAnimation" "DirectAnimation"(daxctle.ocx) Q Q Vulnérabilité Vulnérabilité le le traitement traitement des des scripts scripts VML VML (Internet (Internet Explorer Explorer vgx.dll) vgx.dll) Utilisé Utilisé en en "0day" "0day" la la nature nature Patch Patch non non officiel officiel disponible disponible chez chez ZERT ZERT Corrigé Corrigé par par un un bulletin bulletin "hors "hors cycle" cycle" (MS06-055) (MS06-055) Q Q "0day" "0day" PowerPoint PowerPoint Q Q Vulnérabilité Vulnérabilité le le contrôle contrôle ActiveX ActiveX "WebViewFolderIcon" Disponible Disponible Metasploit Metasploit page 5

6 Infos Microsoft (1/2) BrowserShield Réécrire Réécrire les les flux flux Web Web pour pour se se protéger protéger des des attaques attaques Cisco Cisco NAC NAC et et Microsoft NAP NAP interopérables Le Le patch patch le le plus plus rapide rapide de de l'univers Après Après le le cassage cassage du du système système de de DRM DRM de de Windows Windows Media, Media, Microsoft Microsoft publie publie un un patch patch en en 3 jours jours Malheureusement Malheureusement le le patch patch est est cassé casséen en 5 jours jours Windows Fundamentals Un Un "XP "XP Light" Light" pour pour le le matériel matériel ancien ancien Non Non disponible disponible publiquement publiquement page 6

7 Infos Microsoft (2/2) Beta et et RC Vista RC1 RC1!! IE7 IE7 RC1 RC1 Microsoft Virtual Server 2005 R2 R2 SP1 SP1 Beta 2 Media Player Beta 2.NET Framework RC RC page 7

8 Autres avis (1/3) failles Un Un "0day" Powerpoint en en circulation Intégré l'antivirus Microsoft le le septembre, soit soit avant avant la la diffusion publique Une Une faille du du "browser bug bug of of the the day" serait exploitable Composant affecté affecté :: webvw.dll (IE) (IE) Firefox disponible Falsification des des signatures RSA Affecte :: Windows < SP4, SP4, OpenSSL < 0.9.7k, 0.9.7k, OpenSSL < 0.9.8c, 0.9.8c, Liste Liste des des autorités de de certification utilisant un un module RSA RSA égal égal à 3 Ex. Ex. Entrust Entrust page 8

9 Autres avis (2/3) virus et spywares Quelques nouveaux virus innovants PWS-Satiloler Désactive Désactive WFP WFP Un Un autre autre virus virus Se Se protège protège contre contre la la détection détection grâce grâce à EFS EFS Communique Communique avec avec son son maître maître via via un un canal canal caché caché (images (images GIF) GIF) J2ME/Redbrowser, J2ME/Wesber Envoient Envoient des des SMS SMS surtaxés surtaxés (jusqu'à (jusqu'à $15/message) $15/message) Botnet Botnet "Opanki" Utilise Utilise Google Google Analytics Analyticspour répartir répartir géographiquement géographiquement son son réseau réseau Un Un ver ver se se propage sur sur MSN MSN Messenger Les Les ".pif" ".pif" sont sont bloqués bloqués par par MSN MSN mais mais pas pas les les ".PIF" ".PIF"!! SMSing :: le le phishing par par SMS page 9

10 Autres avis (3/3) ZeroDay Emergency Response Team (ZERT) "Backdoors" les formats de de fichier populaires PDF PDF Supporte JavaScript et et ADBC ADBC MOV (Quicktime) Supporte également JavaScript page 10

11 Questions / réponsesr Questions // réponses Date de de la la prochaine réunion Prochaine réunion le le novembre 2006 N'hésitez pas à proposer des sujets et et des salles page 11