1 Les mises à jour Microsoft d’août 2006
1.1 Introduction
Microsoft a publié le 08 août 2006 12 bulletins de sécurité. Le CERTA a publié à ce sujet plusieurs avis les détaillant (CERTA-AVI-2006-338->CERTA-AVI-2006-349).
Cependant, ces bulletins ont été sujet, ces dernières semaines, à plusieurs discussions et remarques. Afin d’apporter quelques éclaircissements, le CERTA fournit dans les paragraphes suivants un rapide état des lieux les concernant.
1.2 Service Serveur de Microsoft ciblé par Graweg : MS06-040
Microsoft a corrigé dans le bulletin MS06-040 une vulnérabilité affectant le service Serveur du système d’exploitation Windows. Ce service est utilisé pour les RPC (Remote Procedure Call), et de manière générale, pour le partage de ressources (fichiers, imprimantes, etc) dans un réseau local. Il est accessbile à distance par les ports 139/TCP et 445/TCP.
Un code malveillant circule actuellement sur l’Internet, et exploiterait cette vulnérabilité pour se propager. Il est nommé Graweg par Microsoft, ou bien assimilé à une variante Mocbot ou IRCBOT par les vendeurs d’antivirus. Une fois la machine compromise, elle rejoint d’autres machines zombie pour former un botnet, administré par une personne malveillante. Cette dernière peut alors récupérer des informations confidentielles, ou lancer des attaques de manière indirecte par ce réseau de machines.
La propagation semble actuellement limitée, mais il est vivement conseillé de :
- mettre à jour les machines en appliquant les recommandations du bulletin MS06-040 ;
- vérifier que les politiques de filtrage des ports 139 et 445 sont bien respectées, aussi bien sur les machines que les pare-feux en bordure de réseau.
1.3 Internet Explorer : MS06-042
Microsoft a publié le 08 août 2006 un bulletin, corrigeant de nombreuses vulnérabilités dans Internet Explorer. Il semblerait cependant que l’application de la mise à jour pose problème, dans la version Internet Explorer 6 SP1, lors de la navigation vers des sites mettant en oeuvre HTTP1.1 et la compression de données. Le Content-Encoding (ou Transfer-Encoding) permet de transférer le contenu d’un serveur Web vers le navigateur de l’utilisateur, en utilisant des algorithmes standards de compression de données. La compression est également utilisée pour accéder à l’interface web de plusieurs applications.
Une mise à jour du correctif devrait être publiée le 22 août 2006. Comme contournement alternatif, le CERTA recommande :
- de passer à la version SP2 d’Internet Explorer 6 ;
- d’empêcher le navigateur de spécifier dans l’entête HTTP le champ Accept-Encoding (gzip, deflate, compress, etc), au moyen d’un proxy web sur la machine utilisateur, ou d’une passerelle proxy au niveau du réseau.
Notification par Microsoft du problème IE version 6 SP1 suite à la mise à jour MS06-042 918899:
http://support.microsoft.com/kb/923762/
1.4 Microsoft Visual Basic VBA : MS06-047
Quelques vendeurs d’antivirus signalent l’apparition d’un ver exploitant l’une des vulnérabilités corrigées par l’application du bulletin MS06-047. Ce ver circulerait dans un document .doc spécialement construit. Son existence n’est cependant pas encore vérifiée. Il permet néanmoins de rappeler certaines bonnes pratiques concernant l’ouverture de pièces jointesi :
- filtrer en amont, si possible, les documents en pièce jointe des messageries (format, taille) ;
- utiliser des antivirus mis à jour ;
- ouvrir des documents venant de sites et de personnes de confiance.
1.5 Noyau Microsoft : MS06-051
Microsoft a publié un bulletin corrigeant plusieurs vulnérabilités du noyau de Windows. Parmi celles-ci, il existe une mauvaise manipulation de la routine SetUnhandledExceptionFilter. En d’autres termes, Microsoft Windows ne gère pas de manière correcte certains messages évènementiels (aussi appelés exceptions), et il est possible d’exploiter cette vulnérabilité pour exécuter du code arbitraire.
Suite à cela, un site rappelle les vulnérabilités qui ont été identifiées en juillet 2006 sur le navigateur Internet Explorer. Certaines ne permettaient pas directement d’exécuter du code arbitraire, mais provoquent une exception du noyau Windows.
L’idée de combiner les deux problèmes a été évoquée, et permettrait à une personne malveillante d’exécuter du code arbitraire à distance : il lui faut construire une page Web particulière, qui, à son ouverture par un navigateur Internet Explorer, exploiterait ces deux vulnérabilités.
Le CERTA recommande donc de vérifier la bonne application du bulletin de sécurité MS06-051 sur l’ensemble des machines potentiellement vulnérables.
Rappel des avis émis
Dans la période du 07 au 13 août 2006, le CERT-FR a émis les publications suivantes :
- CERTA-2006-AVI-336-001 : Vulnérabilité dans ClamAV
- CERTA-2006-AVI-338-001 : Vulnérabilité dans le Service Serveur de Microsoft Windows
- CERTA-2006-AVI-339 : Vulnérabilités dans Winsock Hostname et le Client DNS de Microsoft Windows
- CERTA-2006-AVI-340-002 : Multiples vulnérabilités dans Internet Explorer
- CERTA-2006-AVI-341 : Vulnérabilité dans Microsoft Windows
- CERTA-2006-AVI-342 : Vulnérabilité dans Microsoft Management Console
- CERTA-2006-AVI-343 : Vulnérabilité dans Windows Explorer
- CERTA-2006-AVI-344 : Vulnérabilité dans le contrôle ActiveX HTML Help
- CERTA-2006-AVI-345 : Vulnérabilité dans Microsoft Visual Basic for Applications (VBA)
- CERTA-2006-AVI-346 : Multiples vulnérabilités dans Microsoft Office, dont Powerpoint
- CERTA-2006-AVI-347-001 : Vulnérabilité du noyau de Windows 2000
- CERTA-2006-AVI-348 : Multiples vulnérabilités dans la bibliothèque hlink.dll de Microsoft Windows
- CERTA-2006-AVI-349 : Multiples vulnérabilités du noyau de Microsoft Windows
- CERTA-2006-AVI-350-001 : Vulnérabilités dans Mysql
- CERTA-2006-AVI-351-003 : Vulnérabilité de SquirrelMail
- CERTA-2006-AVI-352 : Vulnérabilité dans SAP Internet Graphics Service
- CERTA-2006-AVI-353 : Vulnérabilté dans Symantec Veritas Backup Exec
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2006-ALE-009-002 : Vulnérabilité de la librairie MSO.DLL dans Microsoft Office
- CERTA-2006-AVI-299-002 : Vulnérabilité dans libVNCServer
