Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Faille critique non corrigée pour Windows

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Faille critique non corrigée pour Windows

Une vulnérabilité dans un composant courant de Windows pourrait permettre de s’emparer des PC à la seule visite d’une page web. L’attaque serait simple à mener et surtout il n’existe à ce jour aucun correctif : Microsoft est encore « entrain d’enquêter » pour savoir s’il s’agit réellement d’une faille critique. En revanche, du côté des pirates on ne chôme pas : un code d’exploitation circule déjà sur Internet. Il permettrait d’exécuter du code à distance sur les PC entièrement à jour de leurs correctifs.


C’est ce que l’on appelle un « 0day » : une vulnérabilité pour laquelle un code d’exploitation est diffusé avant que l’éditeur n’ait eu le temps de publier le correctif ad-hoc.Une fois n’est pas coutume, c’est Internet Explorer qui est le dindon de la farce. En faisant « crasher » une librairie particulière à travers le navigateur (en visitant par exemple une page web piégée), un pirate serait alors en mesure d’exécuter le code de son choix sur le PC de sa victime. L’attaque a été confirmée sur Windows XP SP2 entièrement à jour de ses correctifs, ce qui en fait une menace particulièrement sérieuse.La librairie en question s’appelle msdds.dll (Microsoft DDS Library Shape Control). Elle n’a jamais été prévue pour être appelée depuis Internet Explorer, et c’est là que se situe la faille : en forçant le navigateur à l’appeler comme s’il s’agissait d’un composant ActiveX (depuis une page web, donc) il est possible de la faire crasher d’une manière qui soit exploitable par un pirate.Il faut cependant noter que cette librairie n’est pas installée par défaut dans Windows, mais elle est tout de même très courante. Elle s’installe notamment avec Microsoft Office (XP et Professional 2003) et Visual Studio (2002 et 2003). Un PC dénué de ces logiciels est donc immunisé à cette vulnérabilité.Pour les autres cependant, la faille n’a rien de théorique : un code d’exploitation en langage Perl a été diffusé sur le web. Une fois exécuté, il ouvre un interpréteur de commande au port 28876 et offre ainsi le contrôle de la machine à n’importe qui. Avec un tel exemple entre les mains, de nombreux groupes d’escrocs pourraient bientôt tenter de pirater un maximum de sites web afin de les utiliser pour diffuser spywares, adwares et autres gâteries. Ce type d’attaque a déjà été menée avec succès et repose justement sur une faille de ce type du côté d’Internet Explorer.Il semblerait cependant que toutes les versions de la DLL msdds.dll ne soient pas égales face à l’attaque et le code d’exploitation ne fonctionnerait qu’avec certaines d’entre elles. Ainsi la version 7.0.6064.9112 serait vulnérable mais pas la 7.10.3077.0. Pire : Office XP installerait bien la librairie vulnérable, mais d’une manière qui la rendrait plus difficile à exploiter !Au milieu de tout ce tohu bohu Microsoft n’a encore publié aucun correctif. Tout juste une note dans laquelle l’éditeur affirme être entrain de déterminer le niveau de gravité de l’affaire. Dans le texte, l’exécution de code n’est encore qu’une possibilité et seul le crash d’Internet Explorer est reconnu. Bref, Microsoft est à la traîne et se plaint de ne pas avoir été prévenu à l’avance.En attendant le correctif ad-hoc, la protection la plus simple consiste à changer de navigateur ou à désactiver l’exécution des contrôles ActiveX dans Internet Explorer. Après tout, les millions d’utilisateurs de Firefox surfent très bien sans cette technologie pour l’essentiel inutile et dangereuse.Et pour ceux qui tiennent vraiment à s’encombrer d’ActiveX, Microsoft propose dans son alerte une série de mesures provisoires afin de limiter l’impact de cette vulnérabilité.Enfin, il est également possible de télécharger un petit utilitaire sur le site de l’Internet Storm Center, qui se chargera de neutraliser la librairie vulnérable si elle se trouve sur votre système.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.