Je suis surpris de n'avoir pas entendu parler de la faille concernant
l'interpretation des images WMF par Windows sur ce newsgroup compte tenu
de sa severité. Pour information, c'est une faille dans un composant
présent dans Windows (versions de 98 à XP SP2 selon mes informations),
qui permet l'execution de code malicieux lors de la préparation d'un
thumbnail d'un fichier WMF malicieux. Microsoft a émis un advisory
concenrant cette faille [1].
Compte tenu de la tendance de Windows à afficher automatiquement des
apercus, la severité de cette faille est trés élevée, d'autant plus
qu'un exploit [2] est disponible.
Il parait que cette faille est deja activement exploitée "in the wild".
Je rappelle à ce sujet qu'un workaround est disponible sur la page de
l'advisory de chez Microsoft [1] (voir dans Suggested Actions /
Workarounds). Je recommande à tous les utilisateurs Windows d'appliquer
ce workaround, mais aussi de RENOMMER la DLL shimgvw.dll aprés avoir
appliqué le workaround, pour empecher un programme de l'appeler
directement. Attention cependant, en renommant la DLL les programmes
linkés à celle-ci risquent de ne plus démarrer. Je ne garantie pas que
cela fonctionne à tous les coups ni que ca ne plantera pas votre
machine, mais cette manip n'a eu aucun effet notable sur le
fonctionnement de la machine Windows XP SP2 sur laquelle j'ai testé.
Ne pas oublier de
remettre le nom original de la DLL et de l'enregistrer à nouveau une
fois qu'un patch est disponible (toujours comme c'est indiqué sur
l'advisory[1] de MS), ce qui n'est pas le cas actuellement
malheureusement.
Je fais aussi remarquer que ce n'est pas parce qu'un fichier ne porte
pas pour extension .WMF qu'il n'est pas dangereux: un fichier WMF
malicieux renommé, par exemple, en .JPG fonctionnera aussi bien.
L'impact de cet exploit peut aussi visiblement être réduit en activant
DEP, la protection contre les buffer overflows de Windows, integrée à
Windows XP SP2. Par défaut elle est activée seulement pour les processus
système, mais l'utilisateur peut choisir de l'étendre à tous les
processus (avec d'éventuels effets de bord). Voir la FAQ dans l'advisory
[1] de MS.
Il y a un vecteur de propagation particulièrement inquiétant dont
personne ne semble parler: MSN Messenger. Ce client a la manie
d'afficher automatiquement un aperçu des fichiers qu'il est sur le point
de recevoir d'un autre ordinateur. Si les quelques conditions
d'exploitation necessaires sont réellement existantes, je pense que vous
imaginez ce qu'un "méchant" peut en faire... un bon gros ver bien
virulent :\
Joyeuses fêtes de fin d'année à tous,
Bertrand
[1] http://www.microsoft.com/technet/security/advisory/912840.mspx
[2] Hé non, je donne pas d'URL. Dommage. :)
Il est inutile de faire tant de mystère, le dentifrice est sorti du tube et on ne peut pas le remettre dedans : "Working exploit code is widely available, and has also been published by FRSIRT and the Metasploit Framework." Je ne vois pas comment on pourrait faire pire. Publier le code en première page du Monde, Libération et le Figaro ?
Bo: : et ya toujours autant de machines windows en circulation ? Donc, les virus ne sont pas un problème.
Next !
Michel Arboi wrote:
On Fri Dec 30 2005 at 23:18, Bertrand wrote:
Il est inutile de faire tant de mystère, le dentifrice est sorti du
tube et on ne peut pas le remettre dedans :
"Working exploit code is widely available, and has also been published
by FRSIRT and the Metasploit Framework."
Je ne vois pas comment on pourrait faire pire. Publier le code en
première page du Monde, Libération et le Figaro ?
Bo: : et ya toujours autant de machines windows en circulation ? Donc,
les virus ne sont pas un problème.
Il est inutile de faire tant de mystère, le dentifrice est sorti du tube et on ne peut pas le remettre dedans : "Working exploit code is widely available, and has also been published by FRSIRT and the Metasploit Framework." Je ne vois pas comment on pourrait faire pire. Publier le code en première page du Monde, Libération et le Figaro ?
Bo: : et ya toujours autant de machines windows en circulation ? Donc, les virus ne sont pas un problème.
Next !
fxzzzzzzzz
Bertrand a écrit:
Aprés verification... Windows a remis la DLL (même checksum que celle que j'avais renomée). Renommer la DLL ne sert donc que pendant la session courante puisqu'au prochain reboot la DLL sera restaurée.
Il faut dé-enregistrer d'abord la dll avec un regsvr32 -u. Par contre, je ne sais pas si Windows garde le Checksum et fait la vérif du fichier au prochain lancement après un regsvr32 (pour pouvoir renommer le fichier par exemple). Je pense que oui car c un fichier "système" ...
PS : si on suivait les conseils de Bilou, j'ai l'impressions qu'il faudrait désactiver et renommer 90% des dlls systèmes :-
Bertrand a écrit:
Aprés verification... Windows a remis la DLL (même checksum que celle
que j'avais renomée).
Renommer la DLL ne sert donc que pendant la session courante puisqu'au
prochain reboot la DLL sera restaurée.
Il faut dé-enregistrer d'abord la dll avec un regsvr32 -u.
Par contre, je ne sais pas si Windows garde le Checksum et fait la vérif
du fichier au prochain lancement après un regsvr32 (pour pouvoir
renommer le fichier par exemple). Je pense que oui car c un fichier
"système" ...
PS : si on suivait les conseils de Bilou, j'ai l'impressions qu'il
faudrait désactiver et renommer 90% des dlls systèmes :-
Aprés verification... Windows a remis la DLL (même checksum que celle que j'avais renomée). Renommer la DLL ne sert donc que pendant la session courante puisqu'au prochain reboot la DLL sera restaurée.
Il faut dé-enregistrer d'abord la dll avec un regsvr32 -u. Par contre, je ne sais pas si Windows garde le Checksum et fait la vérif du fichier au prochain lancement après un regsvr32 (pour pouvoir renommer le fichier par exemple). Je pense que oui car c un fichier "système" ...
PS : si on suivait les conseils de Bilou, j'ai l'impressions qu'il faudrait désactiver et renommer 90% des dlls systèmes :-
Guillermito
In article <43b700b4$0$15738$, says...
Ilfak Guilfanov vient de publier un hotfix
Trois jours après, son blog devenu soudainement très populaire a explosé en vol. Son patch (version 1.4 pour le moment) est disponible sur le site du SANS (en .exe ou .msi) ici :
Vérifier à http://isc.sans.org/ s'il y a une nouvelle version.
Ilfak avait aussi programmé un petit (4 ko) logiciel qui vérifie que la faille WMF est présente ou pas sur votre Windoze. Ce logiciel est téléchargeable chez Steve Gibson :
In article <43b700b4$0$15738$636a15ce@news.free.fr>, guillermito@pipo.com
says...
Ilfak Guilfanov vient de publier un hotfix
Trois jours après, son blog devenu soudainement très populaire a explosé
en vol. Son patch (version 1.4 pour le moment) est disponible sur le site
du SANS (en .exe ou .msi) ici :
Vérifier à http://isc.sans.org/ s'il y a une nouvelle version.
Ilfak avait aussi programmé un petit (4 ko) logiciel qui vérifie que la
faille WMF est présente ou pas sur votre Windoze. Ce logiciel est
téléchargeable chez Steve Gibson :
Trois jours après, son blog devenu soudainement très populaire a explosé en vol. Son patch (version 1.4 pour le moment) est disponible sur le site du SANS (en .exe ou .msi) ici :
Vérifier à http://isc.sans.org/ s'il y a une nouvelle version.
Ilfak avait aussi programmé un petit (4 ko) logiciel qui vérifie que la faille WMF est présente ou pas sur votre Windoze. Ce logiciel est téléchargeable chez Steve Gibson :
Son patch (version 1.4 pour le moment) est disponible sur le site du SANS (en .exe ou .msi) ici :
Je ne suis pas parvenu à trouver un changelog quelque part. Quelqu'un a une idée des différences entre la version 1.3 (que j'ai pushée sur 15 workstations lundi soir) et la 1.4 ?
Fred -- Je regarde le bleu profond se voiler Parfois, un point lumineux se charge de me rappeler Que je ne suis pas ici pour paresser Et que quelque part on a besoin de moi pour aider (Merzhin, Par delà)
Son patch (version 1.4 pour le moment) est disponible sur le site
du SANS (en .exe ou .msi) ici :
Je ne suis pas parvenu à trouver un changelog quelque part. Quelqu'un a
une idée des différences entre la version 1.3 (que j'ai pushée sur 15
workstations lundi soir) et la 1.4 ?
Fred
--
Je regarde le bleu profond se voiler
Parfois, un point lumineux se charge de me rappeler
Que je ne suis pas ici pour paresser
Et que quelque part on a besoin de moi pour aider (Merzhin, Par delà)
Son patch (version 1.4 pour le moment) est disponible sur le site du SANS (en .exe ou .msi) ici :
Je ne suis pas parvenu à trouver un changelog quelque part. Quelqu'un a une idée des différences entre la version 1.3 (que j'ai pushée sur 15 workstations lundi soir) et la 1.4 ?
Fred -- Je regarde le bleu profond se voiler Parfois, un point lumineux se charge de me rappeler Que je ne suis pas ici pour paresser Et que quelque part on a besoin de moi pour aider (Merzhin, Par delà)
Ascadix
De la plume numérique de fxzzzzzzzz, nous vîmes sortir un à un les octets du messages suivant: <news:43bacb96$0$14554$
Bertrand a écrit:
Aprés verification... Windows a remis la DLL (même checksum que celle que j'avais renomée). Renommer la DLL ne sert donc que pendant la session courante puisqu'au prochain reboot la DLL sera restaurée.
Il faut dé-enregistrer d'abord la dll avec un regsvr32 -u. Par contre, je ne sais pas si Windows garde le Checksum et fait la vérif du fichier au prochain lancement après un regsvr32 (pour pouvoir renommer le fichier par exemple). Je pense que oui car c un fichier "système" ...
PS : si on suivait les conseils de Bilou, j'ai l'impressions qu'il faudrait désactiver et renommer 90% des dlls systèmes :-
Et si on sort la copie de secours de DLLCache avant de renomer celle de system32 ?
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
De la plume numérique de fxzzzzzzzz, nous vîmes sortir un à un les octets du
messages suivant:
<news:43bacb96$0$14554$626a14ce@news.free.fr>
Bertrand a écrit:
Aprés verification... Windows a remis la DLL (même checksum que celle
que j'avais renomée).
Renommer la DLL ne sert donc que pendant la session courante
puisqu'au prochain reboot la DLL sera restaurée.
Il faut dé-enregistrer d'abord la dll avec un regsvr32 -u.
Par contre, je ne sais pas si Windows garde le Checksum et fait la
vérif du fichier au prochain lancement après un regsvr32 (pour pouvoir
renommer le fichier par exemple). Je pense que oui car c un fichier
"système" ...
PS : si on suivait les conseils de Bilou, j'ai l'impressions qu'il
faudrait désactiver et renommer 90% des dlls systèmes :-
Et si on sort la copie de secours de DLLCache avant de renomer celle de
system32 ?
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
De la plume numérique de fxzzzzzzzz, nous vîmes sortir un à un les octets du messages suivant: <news:43bacb96$0$14554$
Bertrand a écrit:
Aprés verification... Windows a remis la DLL (même checksum que celle que j'avais renomée). Renommer la DLL ne sert donc que pendant la session courante puisqu'au prochain reboot la DLL sera restaurée.
Il faut dé-enregistrer d'abord la dll avec un regsvr32 -u. Par contre, je ne sais pas si Windows garde le Checksum et fait la vérif du fichier au prochain lancement après un regsvr32 (pour pouvoir renommer le fichier par exemple). Je pense que oui car c un fichier "système" ...
PS : si on suivait les conseils de Bilou, j'ai l'impressions qu'il faudrait désactiver et renommer 90% des dlls systèmes :-
Et si on sort la copie de secours de DLLCache avant de renomer celle de system32 ?
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
Guillermito
In article , says...
Je ne suis pas parvenu à trouver un changelog quelque part. Quelqu'un a une idée des différences entre la version 1.3 (que j'ai pushée sur 15 workstations lundi soir) et la 1.4 ?
Je crois que c'est uniquement la possibilité d'installer massivement le patch de manière silencieuse en réseau, grâce à de nouveaux switchs en ligne de commande, de type :
Donc, à mon avis qui est fort humble, je pense que rien ne change au niveau des fonctionnalités, et qu'il n'est sans doute pas utile de mettre à jour.
-- Guillermito http://www.guillermito2.net
In article <4vbjmri9p827.dlg@tamnavulin.lacave.local>, fred@lacave.net
says...
Je ne suis pas parvenu à trouver un changelog quelque part. Quelqu'un a
une idée des différences entre la version 1.3 (que j'ai pushée sur 15
workstations lundi soir) et la 1.4 ?
Je crois que c'est uniquement la possibilité d'installer massivement le
patch de manière silencieuse en réseau, grâce à de nouveaux switchs en
ligne de commande, de type :
Je ne suis pas parvenu à trouver un changelog quelque part. Quelqu'un a une idée des différences entre la version 1.3 (que j'ai pushée sur 15 workstations lundi soir) et la 1.4 ?
Je crois que c'est uniquement la possibilité d'installer massivement le patch de manière silencieuse en réseau, grâce à de nouveaux switchs en ligne de commande, de type :
Donc, à mon avis qui est fort humble, je pense que rien ne change au niveau des fonctionnalités, et qu'il n'est sans doute pas utile de mettre à jour.
-- Guillermito http://www.guillermito2.net
F. Senault
In article , says...
Je ne suis pas parvenu à trouver un changelog quelque part. Quelqu'un a une idée des différences entre la version 1.3 (que j'ai pushée sur 15 workstations lundi soir) et la 1.4 ?
Je crois que c'est uniquement la possibilité d'installer massivement le patch de manière silencieuse en réseau, grâce à de nouveaux switchs en ligne de commande, de type :
Le /VERYSILENT existait déjà ; seul défaut, il redémarrait la machine automatiquement, sans l'ombre d'un message d'avertissement, chose que j'ai considérée un peu trop traumatisante pour mes utilisateurs... :)
(A voir donc si ça aurait changé ?)
Donc, à mon avis qui est fort humble, je pense que rien ne change au niveau des fonctionnalités, et qu'il n'est sans doute pas utile de mettre à jour.
Ok. Ca m'arrange, je suis censé être en congés, là... :>
Fred -- Pendant que ton ombre En douce te quitte Entends-tu les autres qui se battent A la périphérie Et même si tes yeux Dissolvent les comètes Qui me passent une à une Au travers de la tête J'y pense encore J'y pense (Noir Désir, Septembre, en attendant)
In article <4vbjmri9p827.dlg@tamnavulin.lacave.local>, fred@lacave.net
says...
Je ne suis pas parvenu à trouver un changelog quelque part. Quelqu'un a
une idée des différences entre la version 1.3 (que j'ai pushée sur 15
workstations lundi soir) et la 1.4 ?
Je crois que c'est uniquement la possibilité d'installer massivement le
patch de manière silencieuse en réseau, grâce à de nouveaux switchs en
ligne de commande, de type :
Le /VERYSILENT existait déjà ; seul défaut, il redémarrait la machine
automatiquement, sans l'ombre d'un message d'avertissement, chose que
j'ai considérée un peu trop traumatisante pour mes utilisateurs... :)
(A voir donc si ça aurait changé ?)
Donc, à mon avis qui est fort humble, je pense que rien ne change au
niveau des fonctionnalités, et qu'il n'est sans doute pas utile de mettre
à jour.
Ok. Ca m'arrange, je suis censé être en congés, là... :>
Fred
--
Pendant que ton ombre En douce te quitte Entends-tu les autres qui
se battent A la périphérie Et même si tes yeux
Dissolvent les comètes Qui me passent une à une Au travers de la tête
J'y pense encore J'y pense (Noir Désir, Septembre, en attendant)
Je ne suis pas parvenu à trouver un changelog quelque part. Quelqu'un a une idée des différences entre la version 1.3 (que j'ai pushée sur 15 workstations lundi soir) et la 1.4 ?
Je crois que c'est uniquement la possibilité d'installer massivement le patch de manière silencieuse en réseau, grâce à de nouveaux switchs en ligne de commande, de type :
Le /VERYSILENT existait déjà ; seul défaut, il redémarrait la machine automatiquement, sans l'ombre d'un message d'avertissement, chose que j'ai considérée un peu trop traumatisante pour mes utilisateurs... :)
(A voir donc si ça aurait changé ?)
Donc, à mon avis qui est fort humble, je pense que rien ne change au niveau des fonctionnalités, et qu'il n'est sans doute pas utile de mettre à jour.
Ok. Ca m'arrange, je suis censé être en congés, là... :>
Fred -- Pendant que ton ombre En douce te quitte Entends-tu les autres qui se battent A la périphérie Et même si tes yeux Dissolvent les comètes Qui me passent une à une Au travers de la tête J'y pense encore J'y pense (Noir Désir, Septembre, en attendant)
Guillermito
In article , says...
(A voir donc si ça aurait changé ?)
J'ai transmis la question sur le forum adéquat (voir le lien sur la page temporaire de hexblog.com), et ils ont rajouté un changelog dans la FAQ :
What is the changelog for the Hotfix?
1.4 - Permits silent installs across a network 1.3 - Works for Win 2000 SP4 (Code shows this as release 1.2) 1.2 - check for installed hotfix 1.1 - initial win2000 support 1.0 - initial release
C'est ici :
http://castlecops.com/a6445-WMF_Exploit_FAQ.html
-- Guillermito http://www.guillermito2.net
In article <zs01uh9n1931.dlg@tamnavulin.lacave.local>, fred@lacave.net says...
(A voir donc si ça aurait changé ?)
J'ai transmis la question sur le forum adéquat (voir le lien sur la page
temporaire de hexblog.com), et ils ont rajouté un changelog dans la FAQ :
What is the changelog for the Hotfix?
1.4 - Permits silent installs across a network
1.3 - Works for Win 2000 SP4 (Code shows this as release 1.2)
1.2 - check for installed hotfix
1.1 - initial win2000 support
1.0 - initial release
J'ai transmis la question sur le forum adéquat (voir le lien sur la page temporaire de hexblog.com), et ils ont rajouté un changelog dans la FAQ :
What is the changelog for the Hotfix?
1.4 - Permits silent installs across a network 1.3 - Works for Win 2000 SP4 (Code shows this as release 1.2) 1.2 - check for installed hotfix 1.1 - initial win2000 support 1.0 - initial release
C'est ici :
http://castlecops.com/a6445-WMF_Exploit_FAQ.html
-- Guillermito http://www.guillermito2.net
Guillermito
In article <43b700b4$0$15738$, says...
Ilfak Guilfanov vient de publier un hotfix
Bon, ça devient pénible de me répondre à moi-même, mais le patch officiel de Microsoft vient de sortir avec 5 jours d'avance :
Fin de l'histoire donc. Jusqu'à la prochaine vulnérabilité :)
-- Guillermito http://www.guillermito2.net
Michel Arboi
On Mon Jan 02 2006 at 14:07, Mehdi BENKIR wrote:
et ya toujours autant de machines windows en circulation ?
Si j'en juge par les logs de p0f, oui.
Donc, les virus ne sont pas un problème.
Non, durant la journée du 05/01/06, je n'ai reçu que 2700 connexions sur le port 445, et 1800 sur le port 139, soit guère plus de trois par minute. Je doute que la faille WMF y soit pour grand chose, d'ailleurs.
La durée de survie d'un Windows non patché sur Internet s'élève donc à une vingtaine de secondes, ce qui est ma foi fort honorable. Je crois me souvenir qu'on a vu pire.
et ya toujours autant de machines windows en circulation ?
Si j'en juge par les logs de p0f, oui.
Donc, les virus ne sont pas un problème.
Non, durant la journée du 05/01/06, je n'ai reçu que 2700 connexions
sur le port 445, et 1800 sur le port 139, soit guère plus de trois par
minute. Je doute que la faille WMF y soit pour grand chose, d'ailleurs.
La durée de survie d'un Windows non patché sur Internet s'élève donc à
une vingtaine de secondes, ce qui est ma foi fort honorable. Je crois
me souvenir qu'on a vu pire.
et ya toujours autant de machines windows en circulation ?
Si j'en juge par les logs de p0f, oui.
Donc, les virus ne sont pas un problème.
Non, durant la journée du 05/01/06, je n'ai reçu que 2700 connexions sur le port 445, et 1800 sur le port 139, soit guère plus de trois par minute. Je doute que la faille WMF y soit pour grand chose, d'ailleurs.
La durée de survie d'un Windows non patché sur Internet s'élève donc à une vingtaine de secondes, ce qui est ma foi fort honorable. Je crois me souvenir qu'on a vu pire.
