Je suis surpris de n'avoir pas entendu parler de la faille concernant
l'interpretation des images WMF par Windows sur ce newsgroup compte tenu
de sa severité. Pour information, c'est une faille dans un composant
présent dans Windows (versions de 98 à XP SP2 selon mes informations),
qui permet l'execution de code malicieux lors de la préparation d'un
thumbnail d'un fichier WMF malicieux. Microsoft a émis un advisory
concenrant cette faille [1].
Compte tenu de la tendance de Windows à afficher automatiquement des
apercus, la severité de cette faille est trés élevée, d'autant plus
qu'un exploit [2] est disponible.
Il parait que cette faille est deja activement exploitée "in the wild".
Je rappelle à ce sujet qu'un workaround est disponible sur la page de
l'advisory de chez Microsoft [1] (voir dans Suggested Actions /
Workarounds). Je recommande à tous les utilisateurs Windows d'appliquer
ce workaround, mais aussi de RENOMMER la DLL shimgvw.dll aprés avoir
appliqué le workaround, pour empecher un programme de l'appeler
directement. Attention cependant, en renommant la DLL les programmes
linkés à celle-ci risquent de ne plus démarrer. Je ne garantie pas que
cela fonctionne à tous les coups ni que ca ne plantera pas votre
machine, mais cette manip n'a eu aucun effet notable sur le
fonctionnement de la machine Windows XP SP2 sur laquelle j'ai testé.
Ne pas oublier de
remettre le nom original de la DLL et de l'enregistrer à nouveau une
fois qu'un patch est disponible (toujours comme c'est indiqué sur
l'advisory[1] de MS), ce qui n'est pas le cas actuellement
malheureusement.
Je fais aussi remarquer que ce n'est pas parce qu'un fichier ne porte
pas pour extension .WMF qu'il n'est pas dangereux: un fichier WMF
malicieux renommé, par exemple, en .JPG fonctionnera aussi bien.
L'impact de cet exploit peut aussi visiblement être réduit en activant
DEP, la protection contre les buffer overflows de Windows, integrée à
Windows XP SP2. Par défaut elle est activée seulement pour les processus
système, mais l'utilisateur peut choisir de l'étendre à tous les
processus (avec d'éventuels effets de bord). Voir la FAQ dans l'advisory
[1] de MS.
Il y a un vecteur de propagation particulièrement inquiétant dont
personne ne semble parler: MSN Messenger. Ce client a la manie
d'afficher automatiquement un aperçu des fichiers qu'il est sur le point
de recevoir d'un autre ordinateur. Si les quelques conditions
d'exploitation necessaires sont réellement existantes, je pense que vous
imaginez ce qu'un "méchant" peut en faire... un bon gros ver bien
virulent :\
Joyeuses fêtes de fin d'année à tous,
Bertrand
[1] http://www.microsoft.com/technet/security/advisory/912840.mspx
[2] Hé non, je donne pas d'URL. Dommage. :)
Bonjour Déja signalé par Jacquouille la Fripouille sur fr.comp.securite.virus et sur microsoft.public.fr.securite "Nouvelle alerte de sécurité" avec le moyen d'y remédier
Cordialement Robert "
Bonjour
Déja signalé par Jacquouille la Fripouille sur fr.comp.securite.virus et sur
microsoft.public.fr.securite "Nouvelle alerte de sécurité" avec le moyen d'y remédier
Bonjour Déja signalé par Jacquouille la Fripouille sur fr.comp.securite.virus et sur microsoft.public.fr.securite "Nouvelle alerte de sécurité" avec le moyen d'y remédier
Cordialement Robert "
Manou
Bertrand devait dire quelque chose comme ceci :
Je suis surpris de n'avoir pas entendu parler de la faille concernant l'interpretation des images WMF par Windows sur ce newsgroup compte tenu de sa severité.
On attendait que tu le fasses ;-)
Plus sérieusement, s'il fallait commenter ou expliciter toutes les failles sérieuses qui sont découvertes, ce serait bien pour les lecteurs, mais cela ne laisserait pas forcément beaucoup de temps pour vivre. Donc, c'est à chacun de prendre ses responsabilités, comme tu l'as fait, lorsqu'un sujet devrait être abordé mais ne l'est pas. Et il n'est pas nécessaire d'être doué pour cela, l'on peut faire un compte-rendu détaillé comme tu l'as fait, ou simplement demander si quelqu'un pourrait le faire ou, tout du moins, expliquer un peu le problème.
Bertrand devait dire quelque chose comme ceci :
Je suis surpris de n'avoir pas entendu parler de la faille concernant
l'interpretation des images WMF par Windows sur ce newsgroup compte tenu
de sa severité.
On attendait que tu le fasses ;-)
Plus sérieusement, s'il fallait commenter ou expliciter toutes les
failles sérieuses qui sont découvertes, ce serait bien pour les
lecteurs, mais cela ne laisserait pas forcément beaucoup de temps pour
vivre. Donc, c'est à chacun de prendre ses responsabilités, comme tu
l'as fait, lorsqu'un sujet devrait être abordé mais ne l'est pas.
Et il n'est pas nécessaire d'être doué pour cela, l'on peut faire un
compte-rendu détaillé comme tu l'as fait, ou simplement demander si
quelqu'un pourrait le faire ou, tout du moins, expliquer un peu le
problème.
Je suis surpris de n'avoir pas entendu parler de la faille concernant l'interpretation des images WMF par Windows sur ce newsgroup compte tenu de sa severité.
On attendait que tu le fasses ;-)
Plus sérieusement, s'il fallait commenter ou expliciter toutes les failles sérieuses qui sont découvertes, ce serait bien pour les lecteurs, mais cela ne laisserait pas forcément beaucoup de temps pour vivre. Donc, c'est à chacun de prendre ses responsabilités, comme tu l'as fait, lorsqu'un sujet devrait être abordé mais ne l'est pas. Et il n'est pas nécessaire d'être doué pour cela, l'on peut faire un compte-rendu détaillé comme tu l'as fait, ou simplement demander si quelqu'un pourrait le faire ou, tout du moins, expliquer un peu le problème.
William Marie
"Manou" a écrit dans le message de news:
Et il n'est pas nécessaire d'être doué pour cela, l'on peut faire un
compte-rendu détaillé comme tu l'as fait, ou simplement demander si quelqu'un pourrait le faire ou, tout du moins, expliquer un peu le problème.
Juste une petite question (je ne me sers jamais de ces "métafichiers" graphiques que je trouve fort laids) : un antivirus sert-il à quelque chose en cas d'intrusion ? Je pense à Bitdefender qui traque tout ce qui essaie de manipuler la BdR -- ========================================================== William Marie Toulouse (France) mailto: ATTENTION ! Anti-SPAM pour m'écrire remplacer trapellun.net par free.fr http://wmarie.free.fr ===========================================================
"Manou" <maouu@free.fr> a écrit dans le message de news:
mn.fa3a7d5c5e2fd0ca.30736@freu-inside.eu...
Et il n'est pas nécessaire d'être doué pour cela, l'on peut faire un
compte-rendu détaillé comme tu l'as fait, ou simplement demander si
quelqu'un pourrait le faire ou, tout du moins, expliquer un peu le
problème.
Juste une petite question (je ne me sers jamais de ces
"métafichiers" graphiques que je trouve fort laids) : un antivirus
sert-il à quelque chose en cas d'intrusion ? Je pense à Bitdefender
qui traque tout ce qui essaie de manipuler la BdR
--
========================================================== William Marie
Toulouse (France)
mailto:wmarie@trapellun.net
ATTENTION ! Anti-SPAM pour m'écrire remplacer trapellun.net
par free.fr
http://wmarie.free.fr
===========================================================
Et il n'est pas nécessaire d'être doué pour cela, l'on peut faire un
compte-rendu détaillé comme tu l'as fait, ou simplement demander si quelqu'un pourrait le faire ou, tout du moins, expliquer un peu le problème.
Juste une petite question (je ne me sers jamais de ces "métafichiers" graphiques que je trouve fort laids) : un antivirus sert-il à quelque chose en cas d'intrusion ? Je pense à Bitdefender qui traque tout ce qui essaie de manipuler la BdR -- ========================================================== William Marie Toulouse (France) mailto: ATTENTION ! Anti-SPAM pour m'écrire remplacer trapellun.net par free.fr http://wmarie.free.fr ===========================================================
Michel Arboi
On Fri Dec 30 2005 at 23:18, Bertrand wrote:
L'impact de cet exploit peut aussi visiblement être réduit en activant DEP, la protection contre les buffer overflows de Windows, integrée à Windows XP SP2.
À condition d'avoir un processeur "assez" moderne.
De plus, cette page dit que ça ne sert à rien mais ça n'est pas bien clair : http://isc.sans.org/diary.php?storyid5 "Don't feel too safe though, we have also received comments stating that a fully enabled DEP did not do anything good in their case."
[2] Hé non, je donne pas d'URL. Dommage. :)
Il est inutile de faire tant de mystère, le dentifrice est sorti du tube et on ne peut pas le remettre dedans : "Working exploit code is widely available, and has also been published by FRSIRT and the Metasploit Framework." Je ne vois pas comment on pourrait faire pire. Publier le code en première page du Monde, Libération et le Figaro ?
L'impact de cet exploit peut aussi visiblement être réduit en activant
DEP, la protection contre les buffer overflows de Windows, integrée à
Windows XP SP2.
À condition d'avoir un processeur "assez" moderne.
De plus, cette page dit que ça ne sert à rien mais ça n'est pas bien
clair : http://isc.sans.org/diary.php?storyid5
"Don't feel too safe though, we have also received comments stating
that a fully enabled DEP did not do anything good in their case."
[2] Hé non, je donne pas d'URL. Dommage. :)
Il est inutile de faire tant de mystère, le dentifrice est sorti du
tube et on ne peut pas le remettre dedans :
"Working exploit code is widely available, and has also been published
by FRSIRT and the Metasploit Framework."
Je ne vois pas comment on pourrait faire pire. Publier le code en
première page du Monde, Libération et le Figaro ?
L'impact de cet exploit peut aussi visiblement être réduit en activant DEP, la protection contre les buffer overflows de Windows, integrée à Windows XP SP2.
À condition d'avoir un processeur "assez" moderne.
De plus, cette page dit que ça ne sert à rien mais ça n'est pas bien clair : http://isc.sans.org/diary.php?storyid5 "Don't feel too safe though, we have also received comments stating that a fully enabled DEP did not do anything good in their case."
[2] Hé non, je donne pas d'URL. Dommage. :)
Il est inutile de faire tant de mystère, le dentifrice est sorti du tube et on ne peut pas le remettre dedans : "Working exploit code is widely available, and has also been published by FRSIRT and the Metasploit Framework." Je ne vois pas comment on pourrait faire pire. Publier le code en première page du Monde, Libération et le Figaro ?
Juste une petite question (je ne me sers jamais de ces "métafichiers" graphiques que je trouve fort laids) : un antivirus sert-il à quelque chose en cas d'intrusion ? Je pense à Bitdefender qui traque tout ce qui essaie de manipuler la BdR
Les antivirus peuvent effectivement proteger un peu et ce à deux niveaux.
Premier niveau: empecher l'attaque elle meme, en detectant la tentative d'exploitation et en empechant l'accés au fichier malicieux.
Certains antivirus detectent en effet ces fichiers WMF trafiqués. Mais ce n'est pas forcement suffisant, notamment si l'attaque ne passe pas par un fichier mais par un socket reseau, par exemple (tout se passe en mémoire).
C'est là que le second niveau de protection _peut_ aider, en detectant les conséquences de l'exploitation, et donc ce que le fichier a pu installer. Ces protections génériques ne sont pas toujours trés fiables et ne sont en tout cas jamais parfaites.
Il est donc bon de court circuiter la DLL shimgvw.dll afin de limiter les risques encore un peu plus. Aprés, chacun fait ce qu'il veut, selon son niveau de paranoia :)
@+ Bertrand
Salut,
Juste une petite question (je ne me sers jamais de ces
"métafichiers" graphiques que je trouve fort laids) : un antivirus
sert-il à quelque chose en cas d'intrusion ? Je pense à Bitdefender
qui traque tout ce qui essaie de manipuler la BdR
Les antivirus peuvent effectivement proteger un peu et ce à deux niveaux.
Premier niveau: empecher l'attaque elle meme, en detectant la tentative
d'exploitation et en empechant l'accés au fichier malicieux.
Certains antivirus detectent en effet ces fichiers WMF trafiqués. Mais
ce n'est pas forcement suffisant, notamment si l'attaque ne passe pas
par un fichier mais par un socket reseau, par exemple (tout se passe en
mémoire).
C'est là que le second niveau de protection _peut_ aider, en detectant
les conséquences de l'exploitation, et donc ce que le fichier a pu
installer. Ces protections génériques ne sont pas toujours trés fiables
et ne sont en tout cas jamais parfaites.
Il est donc bon de court circuiter la DLL shimgvw.dll afin de limiter
les risques encore un peu plus. Aprés, chacun fait ce qu'il veut, selon
son niveau de paranoia :)
Juste une petite question (je ne me sers jamais de ces "métafichiers" graphiques que je trouve fort laids) : un antivirus sert-il à quelque chose en cas d'intrusion ? Je pense à Bitdefender qui traque tout ce qui essaie de manipuler la BdR
Les antivirus peuvent effectivement proteger un peu et ce à deux niveaux.
Premier niveau: empecher l'attaque elle meme, en detectant la tentative d'exploitation et en empechant l'accés au fichier malicieux.
Certains antivirus detectent en effet ces fichiers WMF trafiqués. Mais ce n'est pas forcement suffisant, notamment si l'attaque ne passe pas par un fichier mais par un socket reseau, par exemple (tout se passe en mémoire).
C'est là que le second niveau de protection _peut_ aider, en detectant les conséquences de l'exploitation, et donc ce que le fichier a pu installer. Ces protections génériques ne sont pas toujours trés fiables et ne sont en tout cas jamais parfaites.
Il est donc bon de court circuiter la DLL shimgvw.dll afin de limiter les risques encore un peu plus. Aprés, chacun fait ce qu'il veut, selon son niveau de paranoia :)
@+ Bertrand
Bertrand
Salut,
Petit complément à mon précédent message
De plus, cette page dit que ça ne sert à rien mais ça n'est pas bien clair : http://isc.sans.org/diary.php?storyid5 "Don't feel too safe though, we have also received comments stating that a fully enabled DEP did not do anything good in their case."
On peut lire ici, sur la page de l'advisory de Microsoft http://www.microsoft.com/technet/security/advisory/912840.mspx ...que DEP ne sert pas à rien. Encore faut il comme tu l'as fait remarquer avoir le hardware adéquat:
"I have DEP enabled on my system, does this help mitigate the vulnerability?
Software based DEP does not mitigate the vulnerability. However, Hardware based DEP may work when enabled: please consult with your hardware manufacturer for more information on how to enable this and whether it can provide mitigation."
@+ Bertrand
Salut,
Petit complément à mon précédent message
De plus, cette page dit que ça ne sert à rien mais ça n'est pas bien
clair : http://isc.sans.org/diary.php?storyid5
"Don't feel too safe though, we have also received comments stating
that a fully enabled DEP did not do anything good in their case."
On peut lire ici, sur la page de l'advisory de Microsoft
http://www.microsoft.com/technet/security/advisory/912840.mspx
...que DEP ne sert pas à rien. Encore faut il comme tu l'as fait
remarquer avoir le hardware adéquat:
"I have DEP enabled on my system, does this help mitigate the vulnerability?
Software based DEP does not mitigate the vulnerability. However,
Hardware based DEP may work when enabled: please consult with your
hardware manufacturer for more information on how to enable this and
whether it can provide mitigation."
De plus, cette page dit que ça ne sert à rien mais ça n'est pas bien clair : http://isc.sans.org/diary.php?storyid5 "Don't feel too safe though, we have also received comments stating that a fully enabled DEP did not do anything good in their case."
On peut lire ici, sur la page de l'advisory de Microsoft http://www.microsoft.com/technet/security/advisory/912840.mspx ...que DEP ne sert pas à rien. Encore faut il comme tu l'as fait remarquer avoir le hardware adéquat:
"I have DEP enabled on my system, does this help mitigate the vulnerability?
Software based DEP does not mitigate the vulnerability. However, Hardware based DEP may work when enabled: please consult with your hardware manufacturer for more information on how to enable this and whether it can provide mitigation."
@+ Bertrand
Bertrand
Salut,
À condition d'avoir un processeur "assez" moderne.
Oops, exact, j'étais mal renseigné. Cette fonctionnalité ne fonctionne que sur les architectures où il est possible de marquer un emplacement mémoire non executable: http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2mempr.mspx
Je ne vois pas comment on pourrait faire pire. Publier le code en première page du Monde, Libération et le Figaro ?
Bah, le coup du [2] c'était pour ne pas avoir qu'un [1] ;)
Joyeuses fêtes de fin d'année Bertrand
Salut,
À condition d'avoir un processeur "assez" moderne.
Oops, exact, j'étais mal renseigné. Cette fonctionnalité ne fonctionne
que sur les architectures où il est possible de marquer un emplacement
mémoire non executable:
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2mempr.mspx
Je ne vois pas comment on pourrait faire pire. Publier le code en
première page du Monde, Libération et le Figaro ?
Bah, le coup du [2] c'était pour ne pas avoir qu'un [1] ;)
À condition d'avoir un processeur "assez" moderne.
Oops, exact, j'étais mal renseigné. Cette fonctionnalité ne fonctionne que sur les architectures où il est possible de marquer un emplacement mémoire non executable: http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2mempr.mspx
Je ne vois pas comment on pourrait faire pire. Publier le code en première page du Monde, Libération et le Figaro ?
Bah, le coup du [2] c'était pour ne pas avoir qu'un [1] ;)
Joyeuses fêtes de fin d'année Bertrand
Eric Razny
Le Sat, 31 Dec 2005 08:38:00 +0000, lefrob a écrit :
Bonjour Déja signalé par Jacquouille la Fripouille sur fr.comp.securite.virus et sur
Ce n'est pas un virus ni un ver, par contre un virus ou un ver peuvent se servir de cette vulnérabilité. Un rappel dans un groupe plus générique ne me semblait donc pas, amha, inutile.
microsoft.public.fr.securite "Nouvelle alerte de sécurité" avec le moyen d'y remédier
Oui et non, un moyen de limiter la casse mais pas d'être complètement en sécurité.
L'idée de renommer la dll, comme le suggère Bertrand, peut être un plus [1] sous réserver que ce p.t..n de Windows n'aille pas la réinstaller de lui même :)
Eric.
[1] D'autant qu'il se peut qu'il y ait des programmes de type chat divers et variés qui permettent le transfert de fichiers, avec (pré)visualisation etc...
Le Sat, 31 Dec 2005 08:38:00 +0000, lefrob a écrit :
Bonjour
Déja signalé par Jacquouille la Fripouille sur fr.comp.securite.virus
et sur
Ce n'est pas un virus ni un ver, par contre un virus ou un ver peuvent se
servir de cette vulnérabilité. Un rappel dans un groupe plus générique
ne me semblait donc pas, amha, inutile.
microsoft.public.fr.securite "Nouvelle alerte de sécurité" avec le
moyen d'y remédier
Oui et non, un moyen de limiter la casse mais pas d'être complètement en
sécurité.
L'idée de renommer la dll, comme le suggère Bertrand, peut être un plus
[1] sous réserver que ce p.t..n de Windows n'aille pas la réinstaller de
lui même :)
Eric.
[1] D'autant qu'il se peut qu'il y ait des programmes de type chat divers
et variés qui permettent le transfert de fichiers, avec
(pré)visualisation etc...
Le Sat, 31 Dec 2005 08:38:00 +0000, lefrob a écrit :
Bonjour Déja signalé par Jacquouille la Fripouille sur fr.comp.securite.virus et sur
Ce n'est pas un virus ni un ver, par contre un virus ou un ver peuvent se servir de cette vulnérabilité. Un rappel dans un groupe plus générique ne me semblait donc pas, amha, inutile.
microsoft.public.fr.securite "Nouvelle alerte de sécurité" avec le moyen d'y remédier
Oui et non, un moyen de limiter la casse mais pas d'être complètement en sécurité.
L'idée de renommer la dll, comme le suggère Bertrand, peut être un plus [1] sous réserver que ce p.t..n de Windows n'aille pas la réinstaller de lui même :)
Eric.
[1] D'autant qu'il se peut qu'il y ait des programmes de type chat divers et variés qui permettent le transfert de fichiers, avec (pré)visualisation etc...
Guillermito
In article <43b5a833$0$13978$, says...
Il parait que cette faille est deja activement exploitée "in the wild". Je rappelle à ce sujet qu'un workaround est disponible sur la page de l'advisory de chez Microsoft
Ilfak Guilfanov vient de publier un hotfix pour bloquer cette vulnérabilité, qui n'empêche pas de visionner les images, il ne réduit donc pas les fonctionnalités du système. Voir son blog pour les explications :
http://www.hexblog.com/2005/12/wmf_vuln.html
Pour ceux qui ne savent pas, Ilfak est le programmeur principal du désassembleur IDA (www.datarescue.com), et il sait de quoi il parle quand il va fouiller dans les tripes de Windows à très bas niveau. Son patch est recommandé par F-Secure :
http://www.f-secure.com/weblog/#00000756
-- Guillermito http://www.guillermito2.net
In article <43b5a833$0$13978$636a15ce@news.free.fr>, usenet@cykian.net
says...
Il parait que cette faille est deja activement exploitée "in the wild".
Je rappelle à ce sujet qu'un workaround est disponible sur la page de
l'advisory de chez Microsoft
Ilfak Guilfanov vient de publier un hotfix pour bloquer cette
vulnérabilité, qui n'empêche pas de visionner les images, il ne réduit
donc pas les fonctionnalités du système. Voir son blog pour les
explications :
http://www.hexblog.com/2005/12/wmf_vuln.html
Pour ceux qui ne savent pas, Ilfak est le programmeur principal du
désassembleur IDA (www.datarescue.com), et il sait de quoi il parle
quand il va fouiller dans les tripes de Windows à très bas niveau. Son
patch est recommandé par F-Secure :
Il parait que cette faille est deja activement exploitée "in the wild". Je rappelle à ce sujet qu'un workaround est disponible sur la page de l'advisory de chez Microsoft
Ilfak Guilfanov vient de publier un hotfix pour bloquer cette vulnérabilité, qui n'empêche pas de visionner les images, il ne réduit donc pas les fonctionnalités du système. Voir son blog pour les explications :
http://www.hexblog.com/2005/12/wmf_vuln.html
Pour ceux qui ne savent pas, Ilfak est le programmeur principal du désassembleur IDA (www.datarescue.com), et il sait de quoi il parle quand il va fouiller dans les tripes de Windows à très bas niveau. Son patch est recommandé par F-Secure :
http://www.f-secure.com/weblog/#00000756
-- Guillermito http://www.guillermito2.net
Bertrand
Salut,
L'idée de renommer la dll, comme le suggère Bertrand, peut être un plus [1] sous réserver que ce p.t..n de Windows n'aille pas la réinstaller de lui même :)
Aprés verification... Windows a remis la DLL (même checksum que celle que j'avais renomée). Renommer la DLL ne sert donc que pendant la session courante puisqu'au prochain reboot la DLL sera restaurée.
Merci Windows... pff.
@+ Bertrand
Salut,
L'idée de renommer la dll, comme le suggère Bertrand, peut être un plus
[1] sous réserver que ce p.t..n de Windows n'aille pas la réinstaller de
lui même :)
Aprés verification... Windows a remis la DLL (même checksum que celle
que j'avais renomée).
Renommer la DLL ne sert donc que pendant la session courante puisqu'au
prochain reboot la DLL sera restaurée.
L'idée de renommer la dll, comme le suggère Bertrand, peut être un plus [1] sous réserver que ce p.t..n de Windows n'aille pas la réinstaller de lui même :)
Aprés verification... Windows a remis la DLL (même checksum que celle que j'avais renomée). Renommer la DLL ne sert donc que pendant la session courante puisqu'au prochain reboot la DLL sera restaurée.
