1 Mise à jour mensuelle Microsoft
Lors de la mise à jour mensuelle de Microsoft, huit bulletins de sécurité ont été publiés.
Les trois premiers bulletins sont considérés comme critiques :
- MS13-059 qui concerne Internet Explorer, cette mise à jour corrige onze vulnérabilités ;
- MS13-060 qui concerne le processeur de scripts Unicode, cette mise à jour corrige une vulnérabilité ;
- MS13-061 qui concerne Microsoft Exchange Server, cette mise à jour corrige trois vulnérabilités provenant de Oracle Outside In.
Cinq bulletins sont considérés comme importants :
- MS13-062 qui concerne le Remote Procedure Call (RPC), cette mise à jour corrige une vulnérabilité ;
- MS13-063 qui concerne le noyau Microsoft Windows, cette mise à jour corrige quatre vulnérabilités ;
- MS13-064 qui concerne le pilote NAT Microsoft Windows, cette mise à jour corrige une vulnérabilités de Oracle Outside In ;
- MS13-065 qui concerne ICMPv6, cette mise à jour corrige une vulnérabilité ;
- MS13-066 qui concerne Active Directory Federation Services (ADFS), cette mise à jour corrige une vulnérabilité.
Le correctif MS13-063 / CVE-2013-2556 est plus amplement détaillé dans ce bulletin d’actualité.
Le CERTA recommande l’application de ces correctifs dès que possible.
Documentation
- Synthèse des bulletins de sécurité Microsoft du mois de août 2013 :
http://technet.microsoft.com/fr-fr/security/bulletin/ms13-aug
2 Correction d’une technique de contournement des protections DEP et ASLR sous Windows
Le 13 août 2013, Microsoft a publié une mise à jour de sécurité qui se distingue des mises à jour habituelles. En effet, celle-ci ne corrige pas une erreur d’implémentation mais supprime un moyen de contourner, sur les systèmes Windows, les techniques de protection ASLR (Address Space Layout Randomization) et le DEP (Data Execution Prevention).
Sous Windows, l’espace mémoire « SharedUserData », qui sert à échanger des informations entre le mode utilisateur et le mode noyau, est toujours accessible à l’adresse 0x7ffe0000. Cet espace contient notamment des pointeurs de fonctions :
- 7ffe0340 77509e69 ntdll!LdrInitializeThunk
- 7ffe0344 774e0124 ntdll!KiUserExceptionDispatcher
- 7ffe0348 774e0028 ntdll!KiUserApcDispatcher
- 7ffe034c 774e00dc ntdll!KiUserCallbackDispatcher
- 7ffe0350 7756fc24 ntdll!LdrHotPatchRoutine
- 7ffe0354 775026d1 ntdll!ExpInterlockedPopEntrySListFault
- 7ffe0358 7750269b ntdll!ExpInterlockedPopEntrySListResume
- 7ffe035c 775026d3 ntdll!ExpInterlockedPopEntrySListEnd
- 7ffe0360 774e01b4 ntdll!RtlUserThreadStart
- 7ffe0364 775735da ntdll!RtlpQueryProcessDebugInformationRemote
- 7ffe0368 77527111 ntdll!EtwpNotificationThread
Parmi ces pointeurs, la fonction « ntdll!LdrHotPatchRoutine » peut être utilisée pour contourner DEP et ASLR. Elle permet en effet de charger de façon arbitraire un fichier DLL local ou pouvant être présent sur un partage réseau.
Le correctif remplace ces adresses de fonctions par des octets nuls, il ne sera donc plus possible d’exploiter de failles via ce contournement. Ce correctif constitue donc une mesure de défense en profondeur contre toute une catégorie de méthodes d’exploitation.
Le CERTA recommande d’appliquer ce correctif le plus rapidement possible sur tous les systèmes Microsoft Windows.
Documentation
- Bulletin de sécurité Microsoft MS13-063 :
http://technet.microsoft.com/en-us/security/bulletin/MS13-063
- Bulletin de sécurité Microsoft détaillant le correctif :
http://blogs.technet.com/b/srd/archive/2013/08/12/mitigating-the-ldrhotpatchroutine-dep-aslr-bypass-with-ms13-063.aspx
3 Black Hat USA 2013
La conférence Black Hat s’est déroulée du 27 juillet au 1 août. Elle a regroupé un nombre important de présentations dans divers domaines liés à la cybersécurité. Outre le côté technique de certaines présentations, on peut noter que certains thèmes sont actuellement régulièrement abordés lors de ces évènements.
Parmi ces thèmes d’actualité, on peut noter :
- les menaces envers les systèmes SCADA, industriels et embarqués ;
- les menaces contre les smartphones et les problématiques associées au BYOD (Bring Your Own Device) ;
- les attaques menées contre l’UEFI et le SecureBoot ;
- les menaces contre les services Web.
Le suivi et l’identification des sujets traités lors de ce genre de conférences permettent une évaluation de la menace et des attaques possibles du moment contre les systèmes d’information.
Documentation
- Conférence Black Hat
http://www.blackhat.com
Rappel des avis émis
Dans la période du 05 au 11 août 2013, le CERT-FR a émis les publications suivantes :
- CERTA-2013-AVI-460 : Vulnérabilité dans Joomla!
- CERTA-2013-AVI-461 : Multiples vulnérabilités dans Symantec Backup Exec
- CERTA-2013-AVI-462 : Vulnérabilité dans le système SCADA MOXA OnCell Gateway
- CERTA-2013-AVI-463 : Multiples vulnérabilités dans des produits Mozilla
- CERTA-2013-AVI-464 : Vulnérabilité dans les systèmes SCADA Schneider
- CERTA-2013-AVI-465 : Vulnérabilité dans Cisco TelePresence
- CERTA-2013-AVI-466 : Multiples vulnérabilités dans Adobe Reader et Acrobat
- CERTA-2013-AVI-467 : Multiples vulnérabilités dans PuTTY
