 |
|||||
|
|
|
|||
|
|
 |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
 |
|
|
|
|
|
|
|||
|
|||||
|
|||||
|
|||||
|
|
|
|||
|
|
|
|
||
|
|
|
|||
|
|||||
| Référence : | CERT-IST/AL-2006.003 |
| Version : | 1.0 |
| Date de la version : | 22 Mai 2006 |
|
|
Classification de la vulnérabilité
| Risque : |
|
||
| Conséquence : | Accès au système | ||
| Niveau de confiance : | Faille officielle | ||
| Niveau de connaissance de l'attaquant : | Débutant | ||
| Moyen nécessaire à l'attaquant : | Accès distant (sans compte) sur un service standard | ||
|
|||
Information sur le(s) système(s) impacté(s)
| Plate(s)-forme(s) impactée(s) : |
|
| Logiciel(s) impacté(s) : |
|
Remarques :
|
|
| Liste des produits impactés |
Description
| Nature du problème : |
|
|
Le Cert-IST vous a averti ce week-end de la présence d'une nouvelle vulnérabilité de type "0-Day" qui a été découverte dans l'éditeur de texte Microsoft Word (présent dans les suites Microsoft Office et Microsoft Works). Cette vulnérabilité permet à un document Word malveillant d'exécuter du code arbitraire sur le système de l'utilisateur avec les privilèges de ce dernier. Les versions de Microsoft Word impactées sont Word XP (2002) et Word 2003. Il semblerait que sous Word 2000 la vulnérabilité ne provoque qu'un déni de service. Exploitation : Un cheval de Troie ("Ginwui" ou "BackDoor-CKB!cfaae1e6" selon les éditeurs d'anti-virus) exploitant ce problème a déjà été rencontré sur Internet. Il est proposé dans des e-mails contenant un fichier Word malveillant. Ce cheval de Troie contient des fonctionnalités de furtivité ("rootkit") et tente d'ouvrir une porte dérobée sur le système ainsi infecté. Pour cela, il tente de se connecter au site "localhosts.3322.org" avec le protocole HTTP afin d'attendre des commandes de son concepteur (récolte d'informations, accès "shell", ...). Une nouvelle variante du cheval de Troie ("Ginwui.B") est déjà apparue et se connecte, elle, au site "scfzf.xicp.net" en HTTP. Nota : Il semblerait que ce cheval de Troie soit capable de détecter la présence de relais HTTP ("proxy-aware"). Des informations sont également disponibles concernant les e-mails de spam qui transportent le fichier Word malveillant. Ces messages ont généralement les sujets suivants :
De plus, le domaine de l'adresse de l'émetteur (adresse "spoofée") semble le même que celui de l'adresse du destinataire. |
|
Solution
01 - Solutions : Il n'existe pas actuellement de correctif officiel concernant la vulnérabilité de Word. Microsoft a reconnu le problème et travaille actuellement sur l'élaboration de ce correctif. De même, Microsoft va intégrer prochainement la détection de ce cheval de Troie dans son outil "Microsoft Windows Malicious Software Removal Tool". Les éditeurs d'anti-virus proposent également les uns après les autres des signatures afin de détecter l'exploitation de la nouvelle vulnérabilité MS-Word et des chevaux de Troie associés. Voici le niveau de signature des anti-virus requis, en date du dimanche 21 mai 2006.
02 - Recommandations : Le Cert-IST recommande à ce jour :
|
|
Documentation additionnelle
|
|
Historique
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||