1 Les mises à jour Microsoft d'août 2006

1.1 Introduction

Microsoft a publié le 08 août 2006 12 bulletins de sécurité. Le CERTA a publié à ce sujet plusieurs avis les détaillant (CERTA-AVI-2006-338->CERTA-AVI-2006-349).

Cependant, ces bulletins ont été sujet, ces dernières semaines, à plusieurs discussions et remarques. Afin d'apporter quelques éclaircissements, le CERTA fournit dans les paragraphes suivants un rapide état des lieux les concernant.

1.2 Service Serveur de Microsoft ciblé par Graweg : MS06-040

Microsoft a corrigé dans le bulletin MS06-040 une vulnérabilité affectant le service Serveur du système d'exploitation Windows. Ce service est utilisé pour les RPC (Remote Procedure Call), et de manière générale, pour le partage de ressources (fichiers, imprimantes, etc) dans un réseau local. Il est accessbile à distance par les ports 139/TCP et 445/TCP.

Un code malveillant circule actuellement sur l'Internet, et exploiterait cette vulnérabilité pour se propager. Il est nommé Graweg par Microsoft, ou bien assimilé à une variante Mocbot ou IRCBOT par les vendeurs d'antivirus. Une fois la machine compromise, elle rejoint d'autres machines zombie pour former un botnet, administré par une personne malveillante. Cette dernière peut alors récupérer des informations confidentielles, ou lancer des attaques de manière indirecte par ce réseau de machines.

La propagation semble actuellement limitée, mais il est vivement conseillé de :

  1. mettre à jour les machines en appliquant les recommandations du bulletin MS06-040 ;
  2. vérifier que les politiques de filtrage des ports 139 et 445 sont bien respectées, aussi bien sur les machines que les pare-feux en bordure de réseau.

1.3 Internet Explorer : MS06-042

Microsoft a publié le 08 août 2006 un bulletin, corrigeant de nombreuses vulnérabilités dans Internet Explorer. Il semblerait cependant que l'application de la mise à jour pose problème, dans la version Internet Explorer 6 SP1, lors de la navigation vers des sites mettant en oeuvre HTTP1.1 et la compression de données. Le Content-Encoding (ou Transfer-Encoding) permet de transférer le contenu d'un serveur Web vers le navigateur de l'utilisateur, en utilisant des algorithmes standards de compression de données. La compression est également utilisée pour accéder à l'interface web de plusieurs applications.

Une mise à jour du correctif devrait être publiée le 22 août 2006. Comme contournement alternatif, le CERTA recommande :

  • de passer à la version SP2 d'Internet Explorer 6 ;
  • d'empêcher le navigateur de spécifier dans l'entête HTTP le champ Accept-Encoding (gzip, deflate, compress, etc), au moyen d'un proxy web sur la machine utilisateur, ou d'une passerelle proxy au niveau du réseau.

Notification par Microsoft du problème IE version 6 SP1 suite à la mise à jour MS06-042 918899:

http://support.microsoft.com/kb/923762/

1.4 Microsoft Visual Basic VBA : MS06-047

Quelques vendeurs d'antivirus signalent l'apparition d'un ver exploitant l'une des vulnérabilités corrigées par l'application du bulletin MS06-047. Ce ver circulerait dans un document .doc spécialement construit. Son existence n'est cependant pas encore vérifiée. Il permet néanmoins de rappeler certaines bonnes pratiques concernant l'ouverture de pièces jointesi :

  • filtrer en amont, si possible, les documents en pièce jointe des messageries (format, taille) ;
  • utiliser des antivirus mis à jour ;
  • ouvrir des documents venant de sites et de personnes de confiance.

1.5 Noyau Microsoft : MS06-051

Microsoft a publié un bulletin corrigeant plusieurs vulnérabilités du noyau de Windows. Parmi celles-ci, il existe une mauvaise manipulation de la routine SetUnhandledExceptionFilter. En d'autres termes, Microsoft Windows ne gère pas de manière correcte certains messages évènementiels (aussi appelés exceptions), et il est possible d'exploiter cette vulnérabilité pour exécuter du code arbitraire.

Suite à cela, un site rappelle les vulnérabilités qui ont été identifiées en juillet 2006 sur le navigateur Internet Explorer. Certaines ne permettaient pas directement d'exécuter du code arbitraire, mais provoquent une exception du noyau Windows.

L'idée de combiner les deux problèmes a été évoquée, et permettrait à une personne malveillante d'exécuter du code arbitraire à distance : il lui faut construire une page Web particulière, qui, à son ouverture par un navigateur Internet Explorer, exploiterait ces deux vulnérabilités.

Le CERTA recommande donc de vérifier la bonne application du bulletin de sécurité MS06-051 sur l'ensemble des machines potentiellement vulnérables.

Rappel des publications émises

Dans la période du 07 août 2006 au 13 août 2006, le CERT-FR a émis les publications suivantes :


Dans la période du 07 août 2006 au 13 août 2006, le CERT-FR a mis à jour les publications suivantes :