OSSIR Groupe Sécurité Windows Réunion du du 8 mars 2004 page 1
Revue des dernières vulnérabilités Windows Nicolas RUFF nicolas.ruff@edelweb.fr page 2
Avis Microsoft (1/2) Avis de de sécurité Microsoft depuis le le 09/02/2004 MS04-005 Vulnérabilité Virtual PC PC Affecte :: Virtual VirtualPC PC pour pour Mac Mac 6.0 6.0 --6.1 6.1 Exploit :: élévation de de privilèges locale locale Source ::@stake http://www.atstake.com/research/advisories/2004/a021004-1.txt MS04-006 Vulnérabilité dans le le service WINS Affecte :: Windows NT4 NT4 --2003 2003 Exploit :: déni déni de de service sur sur Windows 2003 2003 uniquement, à cause cause du du mécanisme de de "stack "stackprotection"!! Source :: Qualys page 3
Avis Microsoft (2/2) MS04-007 Vulnérabilité dans dans le le décodeur ASN1 ASN1 Affecte Affecte :: Windows Windows NT4 NT4 2003 2003 Au Au moins moins vulnérables vulnérables : : Kerberos Kerberos (UDP/88) (UDP/88) NTLMv2 NTLMv2 (TCP/135, (TCP/135, TCP/139, TCP/139, TCP/445) TCP/445) HTTPS HTTPS sur sur IIS IIS (TCP/443) (TCP/443) Affecte Affecte également également :: Windows Windows 98 98 Mise Mise à à jour jour tardive tardive de de Microsoft Microsoft Affecte Affecte les les dispositifs dispositifs de de VoIP VoIPbasés sur sur du du code code partagé partagé? Ex. Ex. Cisco Cisco cf. cf. vulnérabilité vulnérabilité H323 H323 Exploit Exploit :: exécution exécution de de code code à distance distance Source Source :: eeye eeye http://www.eeye.com/html/research/advisories/ad20040210.html http://www.eeye.com/html/research/advisories/ad20040210.html http://www.eeye.com/html/research/advisories/ad20040210-2.html http://www.eeye.com/html/research/advisories/ad20040210-2.html Reporté Reporté à à Microsoft Microsoft depuis depuis 6 6 mois mois Les Les vulnérabilités en en attente attente http://www.eeye.com/html/research/upcoming/index.html page 4
Infos Microsoft (1/4) "We "Wehave never neverhad hadvulnerabilities exploited before beforethe thepatch was wasknown" http://news.bbc.co.uk/1/hi/technology/3485972.stm "Windows 95 95 was waswritten writtenwithout a single single security feature, he hesaid, as as it it was wasdesigned to to be betotally totallyopen open to to let let users usersconnect to to other othersystems. Furthermore, the thesecurity kernel kernelof ofthe thewindows NT NT server serversoftware was was writtenbefore beforethe theinternet, and andthe thewindows Server Server 2003 2003 software was was written writtenbefore beforebuffer bufferoverflows became a frequent target targetof ofrecent attacks..." http://www.infoworld.com/article/04/02/24/hnunderattack_1.html "Grâce "Grâce au au patch patch MS04-004, IE IE est est le le navigateur le le plus plus sécurisé existant actuellement" http://news.zdnet.co.uk/0,39020330,39146084,00.htm Vulnérabilité IE IE critique non non patchée Affecte Affecte :: IE IE 5.0 5.0 6.0 6.0 Exploit Exploit :: ms-its:mhtml:file://c:\ss.mht!http://www.test.com//chm.chm::/vir/virus.htm ms-its:mhtml:file://c:\ss.mht!http://www.test.com//chm.chm::/vir/virus.htm Workaround Workaround :: Modifier Modifier l'entrée l'entrée HKCR\Protocols\Handler\ms-its HKCR\Protocols\Handler\ms-its Crédit Crédit :: Thor Thor Larholm Larholm Exploitée Exploitée par par le le ver ver Ibiza Ibiza page 5
Infos Microsoft (2/4) Plan Plan de de retrait retrait Windows 2000 2000 Server Server 1er 1er avril avril 2004 2004 :: fin fin des des licences licences en en volume volume 1er 1er novembre novembre 2004 2004 :: fin fin des des licences licences OEM OEM 31 31 mars mars 2005 2005 :: fin fin du du support support technique technique 1er 1er novembre novembre 2005 2005 :: fin fin de de la la vente vente aux aux intégrateurs intégrateurs 1er 1er avril avril 2006 2006 :: fin fin complète complète de de distribution distribution du du produit produit 31 31 mars mars 2007 2007 :: fin fin du du support support technique technique étendu étendu Active Active Directory Migration Tool Tool (ADMT) v2 v2 http://www.microsoft.com/windows2000/downloads/tools/admt/default.asp http://support.microsoft.com/default.aspx?scid=kb;fr;326480 Code Code source source de de Windows disponible sur sur les les réseaux P2P P2P http://www.microsoft.com/presspass/press/2004/feb04/02-12windowssource.asp Environ Environ 660 660 Mo Mo de de fichiers fichiers texte texte Entre Entre 1/1000 1/1000 et et 1/3 1/3 du du code code selon selon les les estimations estimations Source Source de de la la fuite fuite :: Mainsoft Mainsoft? http://www.eweek.com/article2/0,4149,1526830,00.asp http://www.eweek.com/article2/0,4149,1526830,00.asp Version Version : : Windows Windows 2000 2000 SP1, SP1, 25 25 juillet juillet 2000 2000 page 6
Infos Microsoft (3/4) Site en en français dédié aux professionnels de de la la sécurité http://www.microsoft.com/france/securite/it/default.mspx Lutte contre le le spam avec "Caller ID" Identification de de l'émetteur par par interrogation DNS http://www.microsoft.com/mscorp/twc/privacy/spam_callerid.ms px px Autres idées :: Sender Policy Framework DNS DNS également http://spf.pobox.com/ DomainKeys (Yahoo) Signature de de tous tous les les messages par par PGP PGP sur sur le le serveur page 7
Infos Microsoft (4/4) Services for Unix 3.5 Gratuit mais enregistrement nécessaire (Passport) http://www.microsoft.com/windows/sfu/downloads/default.asp Des posters à télécharger http://www.microsoft.com/education/?id=securityposters page 8
Autres avis (1/4) Ver Ver Vesser Vesser // Deadhat Infecte Infecte les les machines machines via via la la "backdoor" "backdoor" MyDoom MyDoom Désinstalle Désinstalle MyDoom MyDoomet et installe installe sa sa propre propre backdoor backdoor!! Ver Ver DoomJuice Infecte Infecte les les machines machines via via la la "backdoor" "backdoor" MyDoom MyDoom DoS DoScontre www.microsoft.com Ver Ver Netsky Netsky Ver Ver Bagle.{A --I} I} Utilise Utilise un un fichier fichier ZIP ZIP avec avec mot mot de de passe passe Techniques Techniques de de Social Social Engineering Engineering élaborées élaborées Etc. Etc. etc. etc. Les Les utilisateurs du du FAI FAI "Sonera" reçoivent des des "returned mails" mails" provenant de de "echelon@sonera.inet.fi" Le Le "blackout aux aux Etats-Unis lié liéà une une erreur erreur de de programmation dans dans la la gestion des des erreurs? http://www.cnn.com/2004/us/northeast/02/13/blackout.ap/index.html Créer Créer un un CD CD Windows bootable avec avec BartPE http://www.nu2.nu/pebuilder/ page 9
Autres avis (2/4) "Buffer overflow" dans le le gestionnaire d'appels "hcp://" Affecte :: Windows XP XP SP1 SP1 Exploit :: permet l'exécution de de code dans le le contexte de de l'utilisateur courant http://www.securityfocus.com/bid/9621/ "Buffer overflow" dans le le décodage des fichiers EMF EMF = Encapsulated MetaFile = format standard Windows d'image vectorielle Affecte :: tout tout logiciel utilisant le le moteur de de rendu Microsoft (IE, (IE, Outlook, Word, etc.) etc.) Exploit :: non non disponible page 10
Autres avis (3/4) "Buffer overflow" dans le le système d'annotation d'acrobat Reader Affecte :: Acrobat Reader 5.1 5.1 Exploit :: un un objet de de type type MIME "application/vnd.adobe.xfdf" est est automatiquement rendu dans IE IE // Outlook "Buffer overflow" dans WinZip Affecte :: WinZip jusqu'à 8.0 8.0 (9.0 (9.0 non non vulnérable) Exploit ::"buffer overflow" exploitable avec les les extensions.mim,.mim,.uue,.uue,.uu,.uu,.b64,.b64,.bhx,.bhx,.hqx,.hqx,.xxe.xxe page 11
Autres avis (4/4) Vulnérabilités IE IE Énumération de de fichiers via via LoadPicture() Exploit Exploit :: appel appel de de la la fonction fonction LoadPicture() LoadPicture() en en VBScript VBScript http://www.securityfocus.com/bid/9611 "Cross-zone scripting" via via un un IFRAME Exploit Exploit :: non non disponible disponible http://www.securityfocus.com/bid/9628 Déni Déni de de service IE/Outlook Exploit Exploit :: utilisation utilisation de de deux deux caractères caractères nuls nuls consécutifs consécutifs http://www.securityfocus.com/bid/9629/ Lecture de de données dans dans le le presse-papiers Exploit Exploit :: execcommand("paste") http://www.securityfocus.com/bid/9643 Exécution de de code code en en zone zone "poste "poste de de travail" Exploit Exploit :: external.navigateandfind('res://<fichier local>','','') local>','','') http://www.securityfocus.com/bid/9568 page 12
Questions / réponses Questions // réponses Date de de la la prochaine réunion :: Lundi 5 avril avril 2004 N'hésitez pas à proposer des sujets et et des salles page 13