Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2000-AVI-009

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 20 juin 2000
No CERTA-2000-AVI-009

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Exécution de programmes locaux grâce aux fichiers d'aides de Windows


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2000-AVI-009

Gestion du document


Tableau 1: gestion du document
Référence CERTA-2000-AVI-009
Titre Exécution de fichiers locaux grâce aux fichiers d'aides de Microsoft Windows
Date de la première version 20 juin 2000
Date de la dernière version -
Source(s) Avis CA-2000-12 du CERT/CC
  Bulletin de Microsoft
Pièce(s) jointe(s) Aucune
   

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution arbitraire de fichiers locaux.

2 Systèmes affectés

Tout système utilisant Microsoft Internet Explorer.

3 Résumé

Grâce à la lecture d'un fichier d'aide de Windows (extension .CHM) astucieusement construit, un utilisateur peut être conduit par une personne mal intentionnée à exécuter localement du code à son insu.

4 Description

Microsoft a proposé un format de fichiers d'aide pour Windows qui permet, en cliquant sur un lien, d'exécuter du code en local (programmes, ou scripts). Par exemple, en lisant l'aide de Windows pour configurer une imprimante, il est possible d'ouvrir le gestionnaire d'impression en cliquant sur un lien de cette aide.

Un utilisateur mal intentionné peut générer ce genre de fichier en y mettant des liens vers des fichiers exécutables locaux de son choix (voire vers des documents bureautique contenant des macros). Si ce fichier d'aide se trouve sur un lecteur réseau connecté (UNC) ou s'il est placé localement sur le disque (par détachement d'un mail, par exemple), il permet de faire exécuter des fichiers arbitraires par celui qui le lirait et cliquerait sur les liens insérés dans le texte. Il porfite du fait qu'en cliquant sur un lien on ne pense pas forcément exécuter du code.

Ce type de fichiers peut aussi être exécuté, de façon non-interactive, et donc à l'insu de l'utilisateur, via un contrôle ActiveX situé dans une page web ou dans un mail lu par Microsoft outlook.

5 Contournement provisoire

Il faut :

  • Rester vigilant vis à vis des des documents de tout type contenant éventuellement des scripts (macro, VBS, ActiveX, etc.).
  • Désactiver les contrôles ActiveX, comme indiqué dans les notes CERTA-2000-INF-002, CERTA-2000-AVI-002 et CERTA-2000-REC-001, pour les 4 types de Zones : Internet, Intranet Local, Sites de confiance (Maintenir une liste précise des sites utilisant HTTPS comme protocole), et Sites sensibles (Sites dont le contenu pourrait endomager votre système).

    Il existe une cinquième zone, qui n'est généralement pas visible appelée « Poste de travail » (My Computer). Les paramètres de sécurité pour cette zone sont observables ou modifiables par la base des registres (regedit). Pour plus de détails voir le site de microsoft :

    http://support.microsoft.com/support/kb/articles/Q182/569.asp
    

    En outre, les paramètres de sécurité de la zone poste de travail peuvent être administrés grâce au logiciel « Internet Explorer Administration Kit » (IEAK).

    Pour la version francaise :

    http://www.microsoft.com/windows/ieak/fr/download/default.asp
    

6 Solution

6.1 À la main

Le contrôle HHCtrl est le point central de l'exploitation de cette vulnérabilité. Si vous désirez agir plus finement (à vos risques et périls) que dans les recommandations générales des notes du CERTA, le CERT/CC propose de désactiver soit « Contrôles ActiveX reconnus sûrs pour l'écriture de scripts » soit les « Contrôles d'initialisation et de scripts ActiveX non marqués » uniquement pour le contrôle HHCtrl, qui sont tous les deux activés par défaut lors de l'installation d'Internet Explorer.

Pour celà, supprimez l'une des deux clefs suivantes de la base de registres :

  • HKEY_CLASSES_ROOT\CLSID\ {ADB880A6-D8FF-11CF-9377-00AA003B7A11}\ Implemented Categories\ {7DD95801-9882-11CF-9FA9-00AA006C42C4}
  • HKEY_CLASSES_ROOT\CLSID\ {ADB880A6-D8FF-11CF-9377-00AA003B7A11}\ Implemented Categories\ {7DD95802-9882-11CF-9FA9-00AA006C42C4}

6.2 correctif partiel

Microsoft fournit un correctif qui n'autorise pas l'exécution de code, par un lien situé dans un fichier d'aide de ce type, se trouvant sur un lecteur réseau. Ce correctif ne traite pas l'exécution de code si le fichier d'aide se trouve sur un disque local (suite à un télechargement par exemple) :

Enfin, microsoft propose aussi un correctif pour outlook, protègeant un peu plus les utilisateurs de ce gestionnaire de courriers contre les scripts contenus dans les mails et les pièces jointes.

Pour le télecharger aller à l'adresse suivante :

http://www.officeupdate.com/2000/downloaddetails/out2ksec.htm

7 Documentation

Gestion détaillée du document

20 juin 2000
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-07-28