Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Premiers défauts sur les mécanismes de sécurité du SP2 ?

auteur de l'article Aurélien Cabezon , dans la rubrique Menaces

Commentaires Commentaires fermés sur Premiers défauts sur les mécanismes de sécurité du SP2 ?

Microsoft nous avait promis un niveau de sécurité jamais atteint pour sa nouvelle mise à jour de Windows XP. De nombreux groupes d’experts se sont penchés sur le programme pour y dénicher les premières failles. Un site web allemand a récemment publié un papier présentant des moyens de contourner un mécanisme de sécurité du service pack.


Faille ou pas ? C’est aujourd’hui l’un des plus grands sujets de polémique sur la célèbre liste de diffusion de sécurité  » Bugtraq « . Ce qui est certain, c’est que la découverte de Jürgen Schmidt présentée sur  » heise Security  » est à ce jour la plus avancée.

Sa recherche porte sur le nouveau mécanisme d’identifiant de zone  » zoneID  » développé par l’éditeur et qui présente deux failles de conception.

En quoi consiste le mécanisme d’identifiant de zone ?

L’une des menaces essentielles sur la sécurité des postes utilisateur connectés à l’Internet repose sur le fait que des fichiers corrompus téléchargés au travers du navigateur web ou des pièces jointes attachées à un message électronique sont généralement exécutés et effectuent des actions illicites a l’insu de l’utilisateur.

L’utilisation des  » zoneIDs  » permet d’attribuer au fichier en question un niveau de confiance en fonction de sa provenance. Par exemple, tout fichier issu de l’Internet recevra une valeur de 3. Une fois le fichier exécuté, une fenêtre d’avertissement rappelant les risques d’exécution d’un fichier provenant d’Internet apparaîtra et proposera une confirmation de la tache.

Les  » zoneIDs  » sont des attributs gérés sous la forme d’ADS (Additional Data Stream), une fonctionnalité intégrées au système de fichier NTFS. Le  » zoneID  » est stocké sous l’ADS Zone.Identifier.

L’ADS est persistant, tant qu’il reste sur un système de fichier NTFS, que le fichier soit renommé ou déplacé. La nouvelle version de l’utilitaire de compression Zip de Microsoft (a ne pas confondre avec WinZip) intègre dors et déjà cette fonctionnalité et interdira la décompression de fichier dont le  » zoneID  » est supérieur ou égal a 3.

L’incompatibilité de l’interpréteur de commande de Microsoft

L’interpréteur de commandes  » cmd.exe  » quant à lui ne prend pas en considération les  » zoneIDs « . C’est en tout cas la première découverte de l’expert allemand.

Ainsi, tout fichier exécute au travers de l’interpréteur de commande ou invoqué par celui-ci (cmd.exe/c evil.exe) ne fournira aucune alerte de sécurité.

Le problème du cache de  » ExplorateurWindows « 

Pour faciliter l’accès aux fichiers, bien des programmes utilisent un  » cache  » ou une  » zone tampon « . Ainsi un certain nombre de valeurs y sont stockées et évitent d’y accéder à chaque fois que le fichier en question est invoqué. C’est le cas pour ce qui est de la gestion des  » zoneIDs  » pour Windows Explorer.

Le problème soulevé par Jürgen repose sur le fait que si un fichier corrompu en provenance d’Internet écrase un fichier local accédé préalablement au cours de la session, son exécution ne générera pas d’alerte tant que le système n’aura pas été redémarré ou l’Explorateur Windows relancé.

En conclusion

Le rapport de cette découverte a été transmis à l’éditeur Américain le 12 Août dernier. La réponse a indiqué que Microsoft ne considère pas que les problèmes soulevés puissent constituer une vulnérabilité pour son nouveau système.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.