Computer Emergency Response Team - Industrie Services et Tertiaire



			Avis et Alertes publics

			Articles du Cert-IST

			Liens utiles

			Presse - Evénements







		Version imprimante

Accueil | Ressources | Avis et Alertes publics | Alertes

Référence :	CERT-IST/AL-2006.001
Version :	1.0
Date de la version :	02 Janvier 2006

Classification de la vulnérabilité

Risque :

Elevé

Conséquence :

Accès au système

Niveau de confiance :

Faille officielle

Niveau de connaissance de l'attaquant :

Débutant

Moyen nécessaire à l'attaquant :

Accès distant (sans compte) sur un service standard

Information sur le(s) système(s) impacté(s)

Plate(s)-forme(s) impactée(s) :

Systèmes Linux/Unix
Systèmes Microsoft Windows
Indépendant de la plate-forme

Logiciel(s) impacté(s) :

Gestionnaire des fichiers "Windows Meta File" (WMF)

Liste des produits impactés

Description

Contexte de publication :

Cette alerte du Cert-IST a pour objet de vous avertir de l'exploitation de la faille "WMF" et notamment de la propagation d'emails de SPAM ou d'Instant Messaging exploitant la faille "WMF"(CVE-2005-4560).

Rappel : la vulnérabilité concerne la gestion des fichiers d'images au format "Windows Meta File" (WMF). Elle peut permettre à un attaquant distant, via un fichier "WMF" spécifiquement formaté, d'exécuter du code arbitraire sur un système vulnérable.

Les informations relatives à cette faille sont disponibles sur le site du Cert-IST :

Avis Cert-IST : AV-2005.485
Danger Potentiel : DG-2005.010
Hub de gestion de crise : "Windows "WMF"

Nature du problème :

Des emails de SPAM (non sollicités) sont en train de se propager. Ces emails exploitent la nouvelle faille "WMF". Ils incitent l'utilisateur à visiter des sites malicieux, ou bien ils contiennent en pièce jointe des images malicieuses.

Actuellement, par exemple un mail de voeux de "Nouvel An" circule. Il a les caractéristiques suivantes :

Si l'utilisateur ouvre la pièce jointe, le code s'exécute et cherche à télécharger du code malveillant (cheval de Troie par exemple).

A noter que d'autres messages (via MSN messenger par exemple) exploitant cette faille se propagent.

Solution

Recommendations :

Dans l'attente de correctif officiel Microsoft, voici ce que nous vous recommandons :

Suivre et mettre à jour les bases de signatures de vos logiciels Antivirus (postes client, serveurs).
Sensibiliser vos utilisateurs à :
- ne pas ouvrir des pièces jointes suspectes reçues par email (tout fichier image... et non pas uniquement avec une extension WMF...),
- ne pas suivre de liens (URL) suspects dans les emails reçus, ou visiter des sites web suspects,
- afficher les mails au format TXT (texte brut) dans leurs clients de messagerie,
- ne pas être connectés avec des privilèges élevés sur leurs postes.
Filtrer sur vos passerelles de messagerie les messages au format HTML.
Filtrer sur vos passerelles de messagerie les fichiers "image" (extensions BMP, GIF, PNG, JPG, JPEG, JPE, JFIF, DIB, RLE, EMF, TIF, TIFF, ICO etc...).
Appliquer le correctif temporaire cité dans l'avis Microsoft (désactiver la DLL "shimgvw.dll").

Identifiant(s) du problème

CERT/CC: VU#181038

Documentation additionnelle

Alerte du Cert-IST CERT-IST/AL-2006.001
- https://wws.cert-ist.com/fast-cgi/AL/Alerte.cgi?lang=fra&Alias=cert-ist_al-2006_001
Avis de sécurité du Cert-IST CERT-IST/AV-2005.485
- https://wws.cert-ist.com/fast-cgi/AV/Avis.cgi?lang=fra&ref=CERT-IST/AV-2005.485
Bulletin de sécurité de Microsoft MS06-001
- http://www.microsoft.com/technet/security/Bulletin/MS06-001.mspx
Danger Potentiel du Cert-IST CERT-IST/DG-2005.010
- https://wws.cert-ist.com/fast-cgi/DG/Danger.cgi?lang=fra&Alias=cert-ist_dg-2005_010
Evolution de la faille
- http://www.f-secure.com/weblog/
- http://isc.sans.org/
FAQ complète sur la faille "WMF"
- http://isc.sans.org/diary.php?storyid=994
Hub de Gestion de Crise du Cert-IST
- https://wws.cert-ist.com/fra/hub/windowswmf/

Historique

Version

Commentaire

Date

1.0

Création de l'alerte

02 Janvier 2006



Copyright © 1999-2010 Cert-IST \| Mentions légales \| Plan du site