OSSIR Groupe SécuritS curité Windows Réunion du du 13 13 février 2006 page 1
Revue des dernières res vulnérabilit s Microsoft Nicolas RUFF EADS-CCR nicolas.ruff@eads.net page 2
Avis Microsoft (1/3) (Avis de de sécurité Microsoft depuis le le 9 janvier 2006) Janvier 2006 MS06-001 Patch WMF Affecte :: toutes toutes les les versions de de Windows depuis depuis 3.0 3.0 Exploit :: ouverture d'un d'un fichier fichier image image corrompu Bulletins sorti sorti "hors "hors cycle" cycle" MS06-002 "Heap overflow" dans le le décodage des des polices EOT EOT Affecte :: toutes toutes les les versions de de Windows supportées Composant Composant T2EMBED.DLL T2EMBED.DLL Exploit :: une une police police de de type type EOT EOT (Embedded Open Open Type) Type) sérialisée dans dans un un mail, mail, une une page page Web, Web, Crédit Crédit :: eeye eeye page 3
Avis Microsoft (2/3) MS06-003 "Buffer overflow" dans le le support TNEF Affecte :: Outlook 2000/XP/2003, Exchange 5.5/2000 Exploit :: une une commande TNEF TNEF (Transport Neutral Encapsulation Format) passée dans dans un un mail mail La La fameuse fameuse pièce pièce jointe jointe "winmail.dat" "winmail.dat" Crédit Crédit :: John John Heasman et et Mark Mark Litchfield Février 2006 Windows Media Player :: 1 bulletin "important" Windows :: 4 bulletins allant jusqu'à "critique" Windows+Office :: 1 bulletin "important" Office :: 1 bulletin "important" page 4
Avis Microsoft (3/3) Advisories Q904420 "BlackWorm", appelé appelémywife.e par par Microsoft Q914457 Elévation de de privilèges locale locale via via des des permissions trop trop laxistes (cf. (cf. ci-après) Q913333 Nouvelle faille faille WMF WMF (Heap (HeapOverflow) Affecte :: IE IE versions antérieures à IE6 IE6 SP1 SP1 Révisions MS05-054 Patch cumulatif sur sur IE IE Version 1.1 1.1 Ajout Ajout d'une d'une référence au au "Kill "KillBit" page 5
Infos Microsoft (1/5) Microsoft va va vendre des des licences d'accès au au code source Windows http://www.zdnet.fr/actualites/informatique/0,39040745,39305718, 00.htm Rappel :: les les protocoles propriétaires Microsoft sont déjà déjàen en vente Microsoft Communications Protocol Program (MCPP) http://members.microsoft.com/consent/info/default.aspx Exemples gratuits :: Tickets Tickets Kerberos Kerberos CIFS CIFS Windows XP XP et et Windows 2003 obtiennent la la certification EAL EAL 4+ 4+ http://www.fcw.com/article91728-12-14-05-web http://appserv.gcn.com/cgibin/udt/im.display.printable?client.id=gcndaily2&story.id=37775 Le Le profil profil de de protection :: http://niap.nist.gov/cc-scheme/pp/pp_capp_v1.d.pdf page 6
Infos Microsoft (2/5) Le Le firewall Vista bloque aussi les les connexions sortantes http://www.techworld.com/security/news/index.cfm?rss&newsid=5246 Microsoft ferme un un blog sur sur MSN à la la demande du du gouvernement Chinois Contenait les les mots mots interdits "democracy" et et "human rights" rights" http://www.nytimes.com/2006/01/06/technology/06blog.html Microsoft contraint à supprimer une une fonction d'office suite à un un procès Fonction de de liaison liaison de de données Access -> -> Excel Excel (!) (!) Procès Amado vs. vs. Microsoft http://www.msd.uga.edu/announcement.php?news_item_id=1050 La La fonction sera sera enlevée dans dans Office Office 2003 2003 SP2 SP2 http://support.microsoft.com/default.aspx/kb/904953/ page 7
Infos Microsoft (3/5) Il Il est est possible d'obtenir les les correctifs mensuels Microsoft sur sur une une image image ISO ISO http://support.microsoft.com/kb/913086 Windows 2003 2003 R2 R2 version finale finale http://www.microsoft.com/windowsserver2003/default.mspx Windows XP XP SP3 SP3 prévu prévupour pour mi-2007!! http://www.microsoft.com/windows/lifecycle/servicepacks.mspx IE IE 7 Beta2 Beta2 pour pour Windows XP XP SP2 SP2 http://www.microsoft.com/windows/ie/ie7/default.mspx Windows OneCare Beta Beta Inclus Inclus un un antivirus antivirus Disponibilité du du "COM+ Hotfix HotfixRollup Rollup35" 35" pour pour Windows 2000 2000 (Q910370) Corrige Corrige 5 nouveaux nouveaux bogues bogues dont dont 4 non non documentés documentés page 8
Infos Microsoft (4/5) page 9
Infos Microsoft (5/5) KMDF (Kernel Mode Driver Framework) disponible Nouveau modèle de de drivers pour Vista http://www.osronline.com/article.cfm?article=430 Seuls les drivers signés autorisés sur Vista 64 64? http://www.osronline.com/article.cfm?article=435 page 10
Autres avis (1/7) - failles Failles WiFi dans Windows Connues depuis depuis 1 an an mais mais forte forte publicité autour autour de de la la ShmooCon Plusieurs types types de de failles failles Windows Windows recherche recherche tous tous les les réseaux réseaux favoris favoris antérieurs antérieurs Windows Windows crée crée automatiquement automatiquement le le premier premier nœud nœud d'un d'un réseau réseau ad-hoc ad-hoc (si (si dans dans les les favoris) favoris) Entre Entre chaque chaque intervalle intervalle de de recherche, recherche, Windows Windows annonce annonce un un SSID SSID aléatoire aléatoire et et se se reconnecte reconnecte automatiquement automatiquement s'il s'il existe existe (!) (!) Certains Certains drivers drivers acceptent acceptent le le fallback fallbacken en clair clair même même sur sur des des réseaux réseaux WEP WEP Encore des des failles Oracle critiques 82 82 failles failles critiques http://www.computerworld.com/securitytopics/security/story/0,10801,10782 5,00.html?source=x10 Certaines Certaines connues connues depuis depuis plus plus de de 3 ans ans Crédit Crédit :: http://www.red-database-security.com/advisory/published_alerts.html page 11
Autres avis (2/7) - failles Tous Tous les les produits Avaya Avayabasés sur sur Windows sont sont vulnérables au au bogue bogue WMF WMF http://news.yahoo.com/s/zd/20060109/tc_zd/168834 "0day" "0day" Winamp publié publiésur sur une une "mailing list" list" Mettre Mettre à jour jour en en version version 5.13 5.13 http://isc.sans.org/diary.php?storyid=1080 "0day" "0day" dans dans Microsoft Help Help Workshop Risque Risque très très faible faible :: il il faut faut ouvrir ouvrir le le ".hhp" ".hhp" dans dans Help Help Workshop Workshop pour pour être être infecté infecté Pluie Pluie de de failles failles dans dans Mozilla/FireFox 8 failles failles patchées patchéesdans FireFox FireFox1.5.0.1 http://www.mozilla.org/security/announce/mfsa2006-[01 08].html http://www.mozilla.org/security/announce/mfsa2006-[01 08].html Et Et une une faille faille non non patchée patchée https://bugzilla.mozilla.org/show_bug.cgi?id=324253 https://bugzilla.mozilla.org/show_bug.cgi?id=324253 La La propriété propriété "-moz-binding" "-moz-binding" permet permet d'exécuter d'exécuter des des scripts scripts et/ou et/ou d'accéder d'accéder aux aux cookies cookies page 12
Autres avis (3/7) - failles Attaque WinVal Framework d'audit d'audit des des permissions en en PROLOG Résultat :: les les services SSDP SSDP et et UPnP UPnPpeuvent être être configurés (SC_CHANGE_CONFIG) par par un un utilisateur non non privilégié L'attaque est est triviale triviale sc scconfig config weakservice weakservicebinpath=c:\attack.exe obj=".\localsystem" password="" password="" sc scstop stop weakservice weakservice sc scstart startweakservice http://www.cs.princeton.edu/~sudhakar/papers/winval.pdf Alerte Alerte Microsoft Q914457 Nombreuses failles trouvées dans les les implémentations BlueTooth en en fuzzing http://www.secuobs.com/news/05022006-bluetooth10.shtml Crédit Crédit :: Pierre Pierre Betouin page 13
Autres avis (4/7) virus et spywares Le Le "BlackWorm" Aucun Aucun intérêt intérêt technique technique Appli Appli Visual Visual Basic Basic se se propageant propageant par par mail mail Se Se propage propage également également via via les les partages partages réseau réseau et et la la commande commande AT AT Payload Payloaddangereux dangereux :: destruction destruction de de fichiers fichiers tous tous les les 3 du du mois mois Plus Plus de de 1 million million de de personnes personnes infectées infectées La La société Frame4 met met en en ligne ligne une une base base de de données de de souches virales virales Payante Payante pour pour les les codes codes les les plus plus récents récents http://www.frame4.net/mdpro/ AntiSpyware Coalition http://www.antispywarecoalition.org/ Symantec utilise utilise des des techniques de de "rootkit" pour pour sa sa corbeille protégée Fonction Fonction qui qui peut peut être être abusée abusée par par des des virus virus http://www.eweek.com/article2/0,1895,1910077,00.asp page 14
Autres avis (5/7) virus et spywares Un nouveau type de de ver :: le le blogworm http://www.moox.nl/blogworm/ http://news.com.com/2061-10789_3-6031795.html page 15
Autres avis (6/7) Une Une analyse intéressante des des délais de de patch http://blogs.washingtonpost.com/securityfix/2006/01/a_timeline_of_m.h tml tml Recrudescence des des attaques en en extraction d'annuaire SMTP Etude Etude de de la la société Tumbleweed http://www.secuobs.com/news/20012006-annuaires.shtml Le Le retour du du brevet logiciel en en Europe? http://www.secuobs.com/news/20012006-brevet.shtml Des Des chiffres sur sur l'utilisation de de FireFox le le dimanche Date Date :: mars mars 2005 2005 Résultats :: Allemagne Allemagne 21% 21% France France 12% 12% UK UK 11% 11% http://www.xitimonitor.com/etudes/equipement4.asp page 16
Autres avis (7/7) L'indexation des métadonnées Office dans Windows Vista pose des problèmes à Gartner http://www.computerworld.com/printthis/2005/0,4814,107338,00. html http://www.eweek.com/print_article2/0,1217,a=168055,00.asp http://news.com.com/2102-1012_3-6006290.html?tag=st.util.print La La plus grosses condamnation pour spam au au monde Robert Kramer vs. vs. James McCalla (spammer basé en en Floride) Condamné à 11,2 11,2 milliard de de dollars de de dommages et et intérêts http://www.computerworld.com/printthis/2006/0,4814,107598,00. html http://www.wired.com/news/politics/1,69966-0.html page 17
Questions / réponsesr Questions // réponses Date de de la la prochaine réunion 13 13 mars 2006 N'hésitez pas à proposer des sujets et et des salles page 18