Journal grave faille de sécuritée dans toutes les versions de windows

Posté par  .
Étiquettes :
0
2
jan.
2006
Une nouvelle faille de sécurité à été détecté dans toutes les version de windows.
Plusieures version de l'exploit on été publiés permetant successivement une infection plus facile et plus discrète.

La faille touche la librairie (dll) permettant d'afficher les fichier wmf, Windows Meta File le format propriétaire de windows qui peut contenir des données bitmap et vectoriels. Pour être exploité, cette faille nécéssite juste l'affichage d'une image wmf infectée par exemple dans internet explorer. Firefox et Opera entre autre sont aussi touché, mais eux demande l'autorisation avant d'ouvrir une telle image contrairement à Internet explorer. Pire encore la visualisation d'une image infecté renommé en .jpg ou .gif est tout aussi dangereux. De même google desktop search utilise la même librairie et une simple indexation par ce dernier suffit à opérer la contamination.

Cet exploit est pour l'instant utilisé pour installer des back door, des spy-ware et autre chouettes logiciels dont windows à le chic, pas vraiment pour des virus, mais il y a fort à parier que ça ne vas pas tarder vu la facilitée d'exploitation de cette faille. Outlook est évidement vulnérable, les web-mails aussi puisqu'elle permettent en général d'afficher des images. Notons qu'un vers pour MSN existe déja.

Microsoft dans tout ça a lui reconnu le problème, mais sans sortir de correctif officiel. Il est fort probable qu'ils attendent la mise à jour mensuelle le 10 janvier pour combler la faille. Des experts indépendant ont quand à eux sorti des mise à jours officieuse sous la forme de programme à installer, de ligne de commande à taper ou de bout de base de registre à patcher.

Quand on vois tout ça, ça fait plaisir d'être sous linux ;-)

  • # quelques liens

    Posté par  . Évalué à 0.

    J'oubliait de donner quelques liens :
    http://www.generation-nt.com/actualites/11034/faille-wmf-mic(...)
    http://www.silicon.fr/getarticle.asp?ID=13098
    et puis dans google news en tapant "wmf"
    http://news.google.fr/news?ie=UTF-8&oe=utf-8&client=(...)

    • [^] # Re: quelques liens

      Posté par  . Évalué à 10.

      La dernière ligne de ton journal me fait doucement sourire ... C'est beau la naiveté face à ce genre de faille.

      M

      • [^] # Re: quelques liens

        Posté par  (site web personnel) . Évalué à 8.

        La dernière ligne de ton journal me fait doucement sourire ... C'est beau la naiveté face à ce genre de faille.
        Tu pourrais développer s'il te plaît ?
        Il est content de ne pas être sujet à une faille connue du publique depuis le 28 décembre et utilisée par des vers, je vois pas ce que ça a de naïf ! (même si c'est vrai qu'il aurait mieux fait de parler de sa distribution que de Linux en général, vu que debian 1.0 est probablement pas aussi à jour que lui...)

        • [^] # Re: quelques liens

          Posté par  . Évalué à 4.

          Si je dis que je suis content d'être sous linux, c'est parce que comme tout les autres OS que windows ne sont pas vulnérable.
          Par contre, je vois pas l'interret de parler de ma distrib. Je suis sous debian mix entre le testing l'instable et l'experiemental, mais je serait sous mandriva corel linux ou même lindows, ça changerait rien

          en fait je ne sait même pas si c'est possible d'afficher du wmf sous linux
          .....
          heu, après une recherche dans les paquets debian il semblerait que si, par la bibwmf

          • [^] # Re: quelques liens

            Posté par  . Évalué à 5.

            A mon avis corel linux c'est carrément le plus risqué. Depuis le temps que le truc n'a pas dû reçevoir de mises à jour...

      • [^] # Re: quelques liens

        Posté par  . Évalué à 6.

        Je suis entièrement d'accord avec toi, c'est de toute façon plutot mal de se moquer des problèmes de la concurrence vu qu'on peut avoir le même genre de problème dans le futur.

        Par contre ce qui me fait plaisir c'est qu'en général les failles sont très vite corrigées sous Linux.

        Après que ce soit sous Linux ou sous windows si les mise à jour de sécurité ne sont pas faites par les utilisateurs ...

        • [^] # Re: quelques liens

          Posté par  . Évalué à 10.

          Moi aussi je me réjouis d'utiliser un système libre, à chaque fois qu'un nouveau vers/virus/spyware/malware se répand en masse et cause bcp de tracas à tout le monde ... sauf à moi nous ! Mais il ne faut pas trop pavaner non plus : Linux (et *BSD, OpenSolaris, Hurd ... ah, non pas Hurd, il est encore trop lent) ne sont pas à l'abri d'une faille comme celle-ci, et on annonce d'ailleurs très régulièrement des "dépassement de tampon", "escalade de droits" ou "deni de service" potentiels.

          Un autre aspect important, c'est l'attitude de celui qui a précocement connaissance de la faille. Découvrir un bug, notamment en terme de sécurité, et développer un code de démonstration (proof of concept) est particulièrement difficile. Le découvreur, fier de son travail, est avide de reconnaissance, c'est humain. Ensuite, c'est en bonne partie la licence du logiciel buggé qui va faire de lui un Gentil Hacker ou un Méchant Cracker :

          - Dans le cas d'un logiciel libre, quelques posts sur la mailing list de développement, un patch de quelques lignes, et il a son nom dans la liste des contributeurs, la reconnaissance de la communauté, la gloire, les filles se jettent à ses pieds ... heu, ptêt pas quand même. L'ouverture du code permet en tout cas aux plus rapides de développer et publier un patch en quelques heures ou dizaines d'heures ! Ce genre de performance peut se monnayer avec un employeur.

          - Par contre, face à un logiciel propriétaire, fermé, breveté, comment faire valoir ses compétences et ses efforts de reverse-engineering ? Faire un rapport de bug sera au mieux traité dans la prochaine version, souvent dans plusieurs mois, selon la bonne volonté de l'éditeur. C'est marrant, plus c'est fermé, moins ils ont de bonne volonté, les éditeurs ... Mais au pire, celui qui divulgue une vulnérabilité peut se retrouver accusé de diffamation, et traîné devant les tribunaux ! (cf. l'affaire Guillermito). Alors certains passent carrément du côté obscur, décident de remuer le couteau dans la plaie, et développent la version moderne du poil à gratter. Ensuite, les vrais escrocs entrent dans la danse, et transforment un simple "exploit" en vrai virus bien méchant.

          Finalement, là où beaucoup pensent que la relative immunité des logiciels libres face aux programmes malicieux est surtout due à sa faible diffusion, je suis convaincu que le modèle de développement "Bazaar" encourage les hackers* à être honnêtes et solidaires, contrairement à la "Cathédrale", fortifiée et dédaigneuse, qui incite plutôt à la révolte ...

          * Au sens noble du terme

          • [^] # Re: quelques liens

            Posté par  (site web personnel) . Évalué à 10.

            Linux (et *BSD, OpenSolaris, Hurd ... ah, non pas Hurd, il est encore trop lent) ne sont pas à l'abri d'une faille comme celle-ci, et on annonce d'ailleurs très régulièrement des "dépassement de tampon", "escalade de droits" ou "deni de service" potentiels.
            C'est évident.
            En même temps pour le (D)DOS, à part faire du queuing, du load balancing, de la redondance, on ne peux pas faire grand chose pour diminuer son impact.

            Mais le propos de départ était surtout que ces systèmes sont ("pour le moment" (ou pas)) très peu sensibles aux virus, vers, tojans, malwares, spywares, trucswares...

            Pour ce qui est des "buffer overflow" et "privilege escalation", c'est pas près de s'arrêter. Petite recherche sur koders[1] nous donne[2] 18 758 gets et seulement 8 058 fgets (dans les sources C uniquement).

            Pour rappel :
            theo@euler$ echo "int main(void){char *test; gets(test);}" >> /tmp/gets.c && gcc -Wall /tmp/gets.c
            [...]
            AVERTISSEMENT: the `gets' function is dangerous and should not be used.
            theo@euler$

            Autre exemple[3] : 28 256 strcpy, 12 787 strncpy et seulement 1 078 strlcpy !
            Ça ne me rassure pas de voir qu'il y a 25 fois plus de strcpy (et 10 fois plus de strncpy) que de strlcpy.
            Pour rigoler : comment un gars (utilisateur d'OpenBSD, donc normalement sensibilisé à la sécu) réussi à écraser son buffer bien qu'il ai fait gaffe à éviter strcpy.
            http://groups.google.fr/group/lucky.openbsd.misc/browse_thre(...)

            Le chemin est encore long...
            Enfin ceci dit ce ne sont que des stats. Ça ne veut pas dire grand chose. Si ça se trouve la majorité des sources sont abandonées après un fork, un changement d'hébergeur, sont des vielles versions qui ne sont plus utilisés ou patchées et le projet est mort. Peut être qu'en fait il y a autant, voir plus de fonctions sûres utilisées (strlcpy, strlcat...) que de fonctions "unsafe" (scanf, gets...).
            Mais bon avec des scies, on mettrais Paris en bouteille, toussa :)

            Enfin pour moi, il reste quand même une culture pas forcément top, et il y a encore un boulot d'information à faire quand aux dangers de certaines fonctions (du moins en C).
            (enfin même pas que sur les fonctions, plein d'autres trucs, comme certaines utilisations de pointeurs hasardeuses, utilisations de variables non initialisées etc., etc. etc...)

            - Par contre, face à un logiciel propriétaire, fermé, breveté, comment faire valoir ses compétences et ses efforts de reverse-engineering ? Faire un rapport de bug sera au mieux traité dans la prochaine version, souvent dans plusieurs mois, selon la bonne volonté de l'éditeur. C'est marrant, plus c'est fermé, moins ils ont de bonne volonté, les éditeurs ... Mais au pire, celui qui divulgue une vulnérabilité peut se retrouver accusé de diffamation, et traîné devant les tribunaux ! (cf. l'affaire Guillermito). Alors certains passent carrément du côté obscur, décident de remuer le couteau dans la plaie, et développent la version moderne du poil à gratter. Ensuite, les vrais escrocs entrent dans la danse, et transforment un simple "exploit" en vrai virus bien méchant.
            Je suis d'accord pour la partie Open Source, c'est motivant et gratifiant de contribuer toussa.

            Par contre pour les logiciels proprios, on peut être tenté de faire des virus et toutes cette sorte de choses. Mais pas tout le temps. Il faut savoir que les 0 day exploits se vendent aux éditeurs de logiciels (qui payent pour pas qu'on dise que leur système est pourri) et aux éditeurs d'anti{virus|*ware} histoire de pouvoir dire qu'ils sont en avance sur les concurents en proposant des MAJ avant les autres.
            Je n'arrive pas à trouver sur le site de MS ce genre d'infos. Mais il me semble que ça peut monter assez haut. (dans les milliers voire les dizaines de millieurs d'euros ou de dollards si je ne me trompe pas).

            [1] http://www.koders.com/
            [2] http://www.koders.com/?s=gets&_%3Abtn=Search&_%3Ala=(...)
            http://www.koders.com/?s=fgets&_%3Abtn=Search&_%3Ala(...)
            [3] http://www.koders.com/?s=strcpy&_%3Abtn=Search&_%3Al(...)
            http://www.koders.com/?s=strncpy&_%3Abtn=Search&_%3A(...)
            http://www.koders.com/?s=strlcpy&_%3Abtn=Search&_%3A(...)

            • [^] # Re: quelques liens

              Posté par  . Évalué à 6.

              Ta recherche sur gets est assez discutable: sur les 25 premiers resultats, on trouve 20 commentaires, 3 occurences dans gets.c (le source qui definit la fonction) et seulement 2 appels à gets(), qui sont dans des main() à deux balles utilisés en tests unitaires.

        • [^] # moqueries

          Posté par  . Évalué à 3.

          Mon but, n'est absolument pas de me moquer de microsoft. Mais je critique leur réaction lente face à ce problème.

          Une grave erreure de conception, ça peut arriver à tout le monde, moi je ne sait pas programmer, je me moque de personne.

          Cependant au dela d'un jugement de valeur de microsoft. Il faut tout de même reconnaitre que la situation est grave car tout les ordinateur sous windows à l'exeption de ceux qui on appliqué un patch sont en danger. Soit beaucoup de pourcentages des ordinateurs finaux en danger. Et même sur linuxfr, il y a des gens sous windows (j'en ai fait parti)

          Moi j'ai utilisé windows pendant des année et si c'était encore le cas, je flipperait pas mal. De même que si un tel problème était découvert dans linux, je craindrais pour mes données personneles et la fiabilitée de mon systeme

          • [^] # Re: moqueries

            Posté par  . Évalué à 6.

            rajoute qu'à priori, les versions de Windows qui ne sont plus supportées peuvent aller se brosser, ainsi que celles qui ne passeront pas l'éventuelle étape de vérification de la validité de la licence, rien de plus normal...

            • [^] # Re: moqueries

              Posté par  . Évalué à 1.

              A priori, si j'avais lu que les vérifications de licences ne servaient que pour les mise à jour pas indispensable, genre média player. ce serait pas une bonne pub pour eux d'avoir pleins de windows zombifié, même pirates.

              • [^] # Re: moqueries

                Posté par  . Évalué à 2.

                ça fait bien 5 ans que ça dure, hein, les Windows vérolés par des trous de IE ou des logiciels plombés de spyware (Kazaa, etc)


                je souhaite évidement que Microsoft "répare" ce genre de failles sur autre chose que XP et 2003, ne serait-ce que par la nuisance que ces machines entrainent indirectement, mais je ne pense pas que ça les empêche de dormir la nuit.

                • [^] # Re: moqueries

                  Posté par  . Évalué à 3.

                  d'après http://www.microsoft.com/technet/security/Bulletin/MS06-001.(...)

                  ils proposent une mise à jour pour Windows 2000 et au dela, à chaque fois avec le dernier service pack en cours.

                  ils n'en proposent pas pour la génération 95-98-Me officiellement parce qu'ils n'ont pas trouvé d'impact critique pour ceux là, et qu'ils ne fourniront un patch qu'en cas d'impact critique. "mise à jour de sécurité critique"

    • [^] # Re: quelques liens

      Posté par  . Évalué à 3.

      Le plus marrant est cette video[1] réalisant l'exploit. Très
      impressionnant, mais pour les utilisateurs de SP2 ceci ne
      passera pas quand le firewall (si actif) refusera l'accès au
      net à différents composants téléchargé+installé.

      Une fois que vous aurez regardé la vidéo vous serez par
      quoi affiner votre recherche ;)

      [1] http://www.websensesecuritylabs.com/images/alerts/wmf-movie.(...)

      • [^] # Re: quelques liens

        Posté par  . Évalué à 2.

        une vidéo wmv pour une faille du wmf, je trouve ça légérement ridicule, surtout que j'ai pas réussi à le lire sur ma debian ni avec vlc ni avec totem ni avec mplayer (j'ai apt-getté w32codecs)
        Si tu peut m'aider à la voir, dis moi

      • [^] # Re: quelques liens

        Posté par  (site web personnel) . Évalué à 1.

        Hum, ca ressemble à une pub pour un anti-spyware :(
        Effectivement, il tente d'afficher un wmf et ca ouvre une ligne de commande. Cela dure 20s après pendant 1m20, il nous montre à quel point son anti-spyware est beau, fort et pas cher.
        J'esperais une video explicative/didactique comme celle du crack wep, mais la je ne vois pas grand chose d'interressant.

        • [^] # Re: quelques liens

          Posté par  . Évalué à 7.

          « Cela dure 20s après pendant 1m20, il nous montre à quel point son anti-spyware est beau, fort et pas cher. »

          C'est que le bel anti-spyware « winhound », fort et pas cher est un faux:

          http://www.futura-sciences.com/news-windows-nouvelle-attaque(...)

          • [^] # Re: quelques liens

            Posté par  (site web personnel) . Évalué à 2.

            Ah oui, avec quelques explications, c'est plus clair :)
            La prochaine fois je chercherai plus loin avant de m'indigner.
            Merci

        • [^] # Re: quelques liens

          Posté par  (site web personnel) . Évalué à 1.

          Moi j'ai plus l'impression qu'il nous montre que la faille a installé un "antispyware" et celui-ci pousse l'utilisateur "infecté" à l'utiliser (changment de l'image du desktop, popup de warning) et quand celui-ci veux retirer les spywares ben pas de chances il doit passer à la caisse...

          C'est pire que de la vente forcée, si j'ai bien compris ce que montre la vidéo c'est le comble de la malhonneté.

    • [^] # Re: quelques liens

      Posté par  . Évalué à 0.

      C'est fou le nombre de gens qui oublie de mettre les liens.
      Ca doit être moi qui a une meilleur memoire alors.

  • # Rabas joie

    Posté par  (site web personnel) . Évalué à 3.

    C'est une bibliothèque, ou alors une "library".

  • # Raison

    Posté par  (site web personnel) . Évalué à 10.

    Ce qui est marrant, c'est l'origine de la faille qui est conceptuel au format de fichier.

    En gros, si le fichiers n'arrivent pas à être ouvert proprement, un bout de code du fichier est exectué ! C'est le comportement normal de la lib qui ouvre les wmf.

    C'est une abérrrration d'un point de vue sécurité ! Mais cela date des 1ers windows...

    "La première sécurité est la liberté"

    • [^] # Re: Raison

      Posté par  (site web personnel) . Évalué à 10.

      D'un autre côté, si leur format de fichier était ouvert, ca ferait lurette que la faille aurait été repérée/corrigée.

      Enfin bon, microsoft et les format ouvert, faut arrêter de rêver (mais après faut pas venir se plaindre).

      • [^] # Re: Raison

        Posté par  (site web personnel) . Évalué à 5.

        Ca fait longtemps que le format WMF est lu :
        http://wvware.sourceforge.net/libwmf.html

        Par contre, je ne sais pas si ce comportement était déjà connu par les développeurs de la bibliothèque libwmf.

        J'avais jetté un coup d'oeil au format WMF ... Il est ... dépaysant. En gros, il appelle l'API Win32 (GDI pour être exact) pour les fonctions de dessins, enfin selon mes souvenirs.
        Basically they are a recording of the windows gdi (graphic) calls.

        (phrase extraite de http://wvware.sourceforge.net/caolan/index.html : "The World's Most Complete WMF Documentation", rien que ça)

        Quand on voit comment le code de Windows est stable face à des données aléatoires (voir le logiciel fuzz, lien ci-dessous), je me dis qu'on doit pouvoir en faire des trucs sympas effectivement.
        http://www.cs.wisc.edu/~bart/fuzz/fuzz.html
        (y'a aussi un rapport sur les programmes Unix qui plantent aussi vite fait face à des données aléatoires)

        Haypo

        • [^] # Re: Raison

          Posté par  . Évalué à 5.

          OpenOffice sait incorporer des fichiers WMF.


          on peut d'ailleurs les exporter plus tard en SVG

  • # fautes de français

    Posté par  . Évalué à 5.

    Il est impossible d'écrire "à été" en français ! c'est "a été" car il s'agit du verbe "avoir été". De nombreuses fautes émaillent ce texte, ne serait-ce que dans la première phrase :

    « Une nouvelle faille de sécurité àa été détectée dans toutes les versions de windows. »

    Faites un effort, relisez-vous un peu quand même.

    • [^] # Re: fautes de français

      Posté par  . Évalué à 3.

      Tu était à 0 et je t'ai plussé ;-)

      C'est vrai, je suis disorthographique chronique, j'ai toujours eu 0 en dictée au collège.
      Mais c'est vrai que j'aurais pu faire un plus gros effort sur l'orthographe, parce que ça, c'est des choses que je connait.
      En même temps on m'a invité à dinner pendant que j'écrivait l'article et il fallait que je me dépèche alors, j'ai pas bien pris le temps de me relire. Mais j'ai quand même enlevé de grosse fautes ;-)

  • # dans la folie ambiante...

    Posté par  . Évalué à 8.

    la société VMWare propose une "Browser Appliance Virtual Machine", en fait une image pour naviguer en bien meilleure sécurité, à utiliser avec leur produit principal VMWare ou leur VMware Player, gratuit.

    un moment je me suis dit "tiens, ils ont mis un IE et un XP dans une image read-only prête à l'emploi" sans me soucier que des problèmes de licences allaient forcément avec.

    puis en lisant les détails, je découvre un "Featuring Mozilla Firefox 1.0.7 and 1.5 running on Ubuntu Linux 5.10", ce qui explique pourquoi j'en parle ici


    http://www.mariebrizard.com/fr/gamme,33,4,134,vodka-odin,liq(...)

    euh non,

    http://www.vmware.com/vmtn/vm/browserapp.html

  • # bloub°

    Posté par  . Évalué à -10.

    bloub°

  • # aucun risque !

    Posté par  . Évalué à 6.

    http://www.microsoft.com/technet/security/advisory/912840.ms(...)

    Mitigating Factors:

    In a Web-based attack scenario, an attacker would have to host a Web site that contains a Web page that is used to exploit this vulnerability. An attacker would have no way to force users to visit a malicious Web site. Instead, an attacker would have to persuade them to visit the Web site, typically by getting them to click a link that takes them to the attacker's Web site.

    In an E-mail based attack involving the current exploit, customers would have to be persuaded to click on a link within a malicious e-mail or open an attachment that exploited the vulnerability. At this point, no attachment has been identified in which a user can be attacked simply by reading mail.

    Ho, bah y a aucun risque alors. Microsoft nous explique que c'est pas si dangereux que ca en fait. Tout le monde sait qu'il est très dur de faire afficher à quelqu'un une image dans une page web ou dans un email.

    Et contrairement à ce qu'ils disent, il semblerait qu'il soit possible de se faire avoir simplement en lisant un email contenant une image.

    • [^] # Re: aucun risque !

      Posté par  (site web personnel) . Évalué à 5.

      Mdr, a quand le "Notre système ne souffre d'aucune faille tant que personne n'a forcé l'utilisateur à brancher son ordinateur et à le démarrer, ce qui est habituellement obtenu en applicant un desert eagle sur la tampe de l'utilisateur. Cette pratique étant quasi-inexistante, il n'y a donc aucun risque."

  • # Vous allez rire

    Posté par  . Évalué à 3.

    For Windows XP Home Edition, there will be no security updates after 12/31/06.

    http://standblog.org/blog/2006/01/04/93114587-actu-microsoft
    http://arstechnica.com/news.ars/post/20060103-5891.html

    • [^] # Re: Vous allez rire

      Posté par  . Évalué à 2.

      ben quoi, ca fait 5 ans de support...

      • [^] # Quelques mois de support en fait...

        Posté par  . Évalué à 4.

        ben quoi, ca fait 5 ans de support...
        Heu... sauf pour ma cousine* qui s'est offert un portable avec XP Home pour Nawël: 1 an de support... Et ensuite ???

        *C'est un exemple, bien sûr. Je suis persuadé qu'il y a des centaines de milliers de gens qui sont dans son cas et sans doute des millions d'ici la sortie de Windows Vista.

    • [^] # Re: Vous allez rire

      Posté par  . Évalué à 2.

      Moi oui ca me fait rire.

      On a vu le meme genre d'annonce alarmistes pour Windows 2000, et bien evidemment Microsoft a etendu la duree de support de NT4 histoire de pas foutre le bordel.

      Il est evident que XP aura encore un support securite apres decembre 2006, ne pas le faire nuirait a MS plus qu'autre chose.

      • [^] # Re: Vous allez rire

        Posté par  . Évalué à 3.

        Il est evident que XP aura encore un support securite apres decembre 2006, ne pas le faire nuirait a MS plus qu'autre chose.
        Sans doute. Esperons-le pour tout ceux qui ont acheté un ordinateur avec Windows récemment. L'espoir fait vivre.

  • # Avec un article dans le Monde

    Posté par  (site web personnel) . Évalué à 3.

    Eh oui, une surprise m'attend en lisant le monde papier hier. Un titre assez accrocheur et un article faisant la moitié de la page :

    "Un « cheval de Troie » menace l'intégrité de Windows"

    Et un article : http://www.lemonde.fr/cgi-bin/ACHATS/acheter.cgi?offre=ARCHI(...)
    (à première vue il n'est pas en version gratuite)

    Ce qui est assez notable dans cet article c'est (de mémoire) "ceux qui ont choisit d'autre systèmes d'exploitations comme par exemple Linux ne sont pas touchés"

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.