Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2005-ALE-019

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 06 janvier 2006
No CERTA-2005-ALE-019-006

Affaire suivie par :

CERTA

BULLETIN D'ALERTE DU CERTA

Objet : Exploitation d'une vulnérabilité mal corrigée dans Microsoft Windows


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2005-ALE-019

Gestion du document


Tableau 1: Gestion du document
Référence CERTA-2005-ALE-019-006
Titre Exploitation d'une vulnérabilité mal corrigée dans Microsoft Windows
Date de la première version 28 décembre 2005
Date de la dernière version 06 janvier 2006
Source(s) Bulletin de sécurité Microsoft #912840 du 28 décembre 2005
Pièce(s) jointe(s) Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risques

  • Exécution de code arbitraire à distance ;
  • déni de service.

2 Systèmes affectés

  • Microsoft Windows 2000 Service Pack 4 ;
  • Microsoft Windows XP Service Pack 1 & 2 ;
  • Microsoft Windows XP Professional x64 Edition ;
  • Microsoft Windows Server 2003 & Server 2003 Service Pack 1 ;
  • Microsoft Windows Server 2003 & Server 2003 Service Pack 1 pour systèmes Itanium ;
  • Microsoft Windows Server 2003 x64 Edition ;
  • Microsoft Windows 98 et 98 Second Edition ;
  • Microsoft Windows Millennium Edition.

3 Résumé

Un code malveillant, d'ores et déjà utilisé sur l'Internet, exploite une vulnérabilité mal corrigée dans Microsoft Windows et permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Ce code permet de télécharger et d'exécuter un autre code malveillant à l'insu de l'utilisateur. Selon certains éditeurs d'anti-virus, le second code téléchargé serait un cheval de Troie.

Il apparaît que des messages électroniques non sollicités (spam) commencent à se propager en incitant à aller sur un site contenant des pages malicieusement construite et exploitant la vulnérabilité ou encore des messages avec une image véhiculant le code d'exploitation (``exploit''). Ces messages peuvent avoir par exemple pour caractéristiques:
  • sujet : ``happy new year'';
  • corps du texte : ``picture of 2006'';
  • une pièce jointe contenant le code d'exploitation : ``HappyNewYear.jpg''.
Si cette image en pièce jointe est ouverte le code s'exécute et va chercher à télécharger un code malveillant qui peut être un cheval de Troie par exemple.

4 Description

Il apparaît que la vulnérabilité décrite dans le bulletin de sécurité du CERTA (cf. CERTA-2005-AVI-445) n'a été que partiellement ou incomplètement corrigée par le bulletin de sécurité Microsoft MS05-053 du 08 novembre 2005.

Cette vulnérabilité peut être exploitée au moyen d'un fichier wmf (Windows MetaFile) malicieusement construit. Un individu malveillant peut, au moyen d'un message électronique comprenant un tel fichier ou d'un site web malicieusement contruit, exécuter du code arbitraire à distance, sur un système mis à jour, lors de l'ouverture du fichier.

Un fichier wmf malicieusement contruit permet également de réaliser un déni de service sur de nombreuses autres fonctionnalités de Microsoft, notamment sur le processus explorer.exe lors de la prévisualisation d'un fichier wmf dans l'explorateur de fichiers.

Il est à noter (cf. chapitre 5.2) que cette vulnérabilité concerne toutes les applications qui utilisent le moteur de rendu graphique de Microsoft. Le code d'exploitation ne se limite donc pas aux seules applications Microsoft comme Internet Explorer ou encore un client de messagerie comme Outlook mais concerne aussi par exemple Google Desktop.


5 Contournement provisoire

Les contournements provisoires cités en paragraphes 5.2 et 5.3 nécessitent les privilèges administrateur pour être appliqués sur le système.

NB : le contournement provisoire cité en paragraphe 5.2 donne l'illusion de fonctionner sans les privilèges administrateur, du fait que l'utilisateur est informé du bon déroulement de la désactivation du composant shimgvw.dll. Cependant le composant vulnérable reste actif et par conséquent le système reste vulnérable.

5.1 Interdiction du composant shimgvw.dll dans la politique de sécurité

Le contournement provisoire suivant ne peut s'appliquer que dans le cas où vous disposez d'un ou plusieurs systèmes Microsoft Windows 2003 Server en tant que contrôleur de domaine.

Dans ce cas, vous pouvez appliquer une politique de sécurité interdisant l'utilisation du composant shimgvw.dll pour toute votre unité organisationnelle.

5.2 Désactivation du composant shimgvw.dll

Il apparaît que les applications faisant appel au composant shimgvw.dll de Microsoft Windows deviendraient vulnérables. Parmi les applications vulnérables, nous pouvons citer par exemple Mozilla Firefox, Google Desktop.

C'est pour cela que le CERTA propose un contournement provisoire plus radical que celui proposé au chapitre 5.2 en désactivant le composant shimgvw.dll. Cependant cela pourrait avoir des effets de bords sur des applications métiers utilisant cette dll.

Les composants de Microsoft Windows affectées par ce contournement provisoire seront au minimum :

  • GDI+ File Thumbnail Extractor Windows Picture and Fax Viewer ;
  • HTML Thumbnail Extractor Windows Picture and Fax Viewer ;
  • Shell Image Data Factory Windows Picture and Fax Viewer ;
  • Shell Image Property Handler Windows Picture and Fax Viewer ;
  • Shell Image Verbs Windows Picture and Fax Viewer ;
  • Summary Info Thumbnail Handler (DOCFILE) Windows Picture and Fax Viewer ;


Procédures à suivre :

  • Afin de désactiver le composant shimgvw.dll de Microsoft Windows :
    • Cliquez sur "Démarrer" puis sur "exécuter" ;
    • tapez "regsvr32.exe -u shimgvw.dll" puis "Entrée.
  • Afin de réactiver (lorsque le correctif sera disponible) le composant shimgvw.dll de Microsoft Windows :
    • Cliquez sur "Démarrer" puis sur "exécuter" ;
    • tapez "regsvr32.exe shimgvw.dll" puis "Entrée".

Si vous ne disposez pas du fichier regsvr32.exe, il peut être téléchargé à partir du site de Microsoft, à l'adresse suivante :

http://support.microsoft.com/kb/q267279/

5.3 Contournement provisoire pour Internet Explorer

Afin de limiter l'impact d'un fichier wmf malveillant sur le système :

  • bloquer l'exécution après téléchargement de fichier ayant l'extension wmf ;
    1. cliquez sur "Démarrer" puis sur "Poste de travail" ;
    2. dans le menu "Outils" cliquez sur "Options des dossiers" ;
    3. dans l'onglet "Types de fichiers", sélectionnez dans la liste WMF ;
    4. dans l'encadré "Détails concernant l'extension 'WMF'", cliquez sur "Avancé" ;
    5. cochez l'option "Confirmer l'ouverture après le téléchargement" puis acceptez les modifications.

    Le contournement cité ci-dessus prévient le téléchargement et l'exécution automatique du fichier malveillant, toutefois l'utilisateur peut télécharger et exécuter manuellement le fichier et provoquer ainsi la compromission de son système.

5.4 Rappels de principes généraux

  • Afficher les messages en texte brut dans votre client de messagerie conformément à la note de recommandation CERTA-2000-REC-001 (cf. Section Documentation) ;
  • en complément, la règle générale de mise à jour régulière des anti-virus est bien entendu à respecter dans ce cas là ;
  • mémento du CERTA sur les virus (cf. section Documentation) ;
  • Note d'information du CERTA sur le SPAM (cf. Documentation).

6 Solution

Appliquer le correctif tel qu'indiqué dans le bulletin de sécurité Microsoft MS06-001 (voir section Documentation).

7 Documentation

Gestion détaillée du document

28 décembre 2005
version initiale.
28 décembre 2005
ajout des références aux publications du CERTA.
28 décembre 2005
ajout d'un contournement provisoire.
29 décembre 2005
ajout de la référence au bulletin de sécurité de Microsoft.
30 décembre 2005
ajout d'un contournement provisoire.
01 janvier 2006
ajout des caractéristiques de certains mails de spam.
06 janvier 2006
mise à jour de la section Solution, ajout de la référence vers le bulletin de sécurité MS06-001 de Microsoft.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2014-04-23