Computer Emergency Response Team - Industrie Services et Tertiaire



			Avis et Alertes publics

			Articles du Cert-IST

			Liens utiles

			Presse - Evénements







		Version imprimante

Accueil | Ressources | Avis et Alertes publics | Avis de sécurité

Vulnérabilités dans le protocole Microsoft Windows TCP/IP (MS08-001)

Rérérence :	CERT-IST/AV-2008.009
Version :	2.1
Date de la version :	04 février 2008

Classification de la vulnérabilité

Risque :

Très élevé

Conséquence :

Prise de contrôle du système
Déni de service
Accès au système

Niveau de confiance :

Faille officielle

Niveau de connaissance de l'attaquant :

Connaisseur

Moyen nécessaire à l'attaquant :

Accès distant (sans compte) sur un service standard

Information sur le(s) système(s) impacté(s)

Plate(s)-forme(s) impactée(s) :

Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Professional x64 Edition et Windows XP x64 Edition SP2
Windows Server 2003 Service Pack 1 et Service Pack 2
Windows Server 2003 x64 Edition et Windows Server 2003 x64 Edition SP2
Windows Server 2003 (Itanium) SP1 et Windows Server 2003 (Itanium) SP2
Windows Vista et Windows Vista x64 Edition
Windows Small Business Server 2003 Service Pack 2

Logiciel(s) impacté(s) :

Protocoles IGMP et ICMP de Microsoft Windows

Remarques :

Vulnérabilité CVE-2007-0069 :
Windows 2000 n'est pas vulnérable,
Windows XP est vulnérable par défaut,
Windows Vista est vulnérable par défaut,
Windows 2003 n'est pas vulnérable par défaut, mais une vérification est recommandée pour s'en assurer.

Vulnérabilité CVE-2007-0066 :
Les systèmes Windows Vista ne sont pas impactés par cette vulnérabilité.

Description

Contexte de publication :

Cet avis a été ré-émis en version 2.0 le 31/01/2008 suite à l'existence d'un programme d'exploitation pour la vulnérabilité CVE-2007-0069. Le risque associé à cet avis a en conséquence été augmenté à "Très Elevé".

Les dangers liés à ce programme d'exploitation ont fait l'objet d'un hub de gestion de crise intitulé "IGMP (MS08-001)".

Nature du problème :

Deux vulnérabilités ont été découvertes dans la gestion des protocoles IGMP et ICMP du noyau de Windows. Elles permettent à un attaquant distant d'accéder au système avec des privilèges élevés (pouvant aller à la prise de contrôle du système) ou de perturber le système vulnérable.

Nota : Un programme d'exploitation existe pour la vulnérabilité CVE-2007-0069. Il permet une prise de contrôle à distance d'un système vulnérable. Ce programme est privé, il n'a pas été diffusé publiquement sur Internet.

Contexte technique :

La multi-diffusion (multicast) permet d'envoyer certains paquets à un sous-ensemble de machines du réseau. Pour cela, le protocole IGMP (Internet Group Management Protocol - RFC 1112-2236) permet à une machine reliée à Internet d'informer les routeurs de diffusion "multicast" adjacents de son adhésion à un groupe.
Le protocole "IGMP" est implémenté au niveau IP (protocole IP : 2).

Le protocole ICMP (Internet Control Message Protocol) est un protocole de contrôle de messages et d'erreurs pour les protocoles TCP/IP.
Le protocole ICMP est implémenté au niveau IP (protocole IP : 2).

Le protocole IRDP (ICMP Router Discovery Protocol - RFC 1256) est utilisé par défaut dans les clients DHCP. Il permet lors de leur activation de mettre à jour de manière automatique la route par défaut (celle vers le routeur) dans la table de routage.

Analyse détaillée :

Vulnérabilité CVE-2007-0069 :

Cette vulnérabilité concerne le protocole IGMP (Internet Group Management Protocol). Elle permet à un attaquant distant au travers de paquets "IGMPv3" et "MLDv2" malveillants, de perturber le système (déni de service) ou d'exécuter du code arbitraire avec des privilèges élevés.

Vulnérabilité CVE-2007-0066 :

Cette vulnérabilité concerne le protocole ICMP (Internet Control Message Protocol). Elle permet à un attaquant distant au travers de paquets ICMP fragmentés malveillants de perturber le système (déni de service).

Nota : Cette vulnérabilité n'est exploitable que si le protocole IRDP (ICMP Router Discovery Protocol) est activé (ce qui n'est pas le cas par défaut). Néanmoins, sur les systèmes Windows 2003 Server et Windows XP, le protocole IRDP peut être activé soit dans la configuration d'un client DHCP, soit via une clé de registre. Sur les systèmes Windows 2000, il ne peut être activé que via une clé de registre.

Diagnostic :

Sous Windows 2003, pour vérifier si le système est vulnérable à la vulnérabilité CVE-2007-0069, exécutez la commande suivante :
netsh int ip show join

La sortie de la commande devrait ressembler à ceci :

Interface Addr   Multicast Group

---------------  ---------------

10.1.1.1         224.0.0.1

Si le groupe multicast 224.0.0.1 est le seul auquel vous êtes inscrit, alors votre machine n'est pas vulnérable.
Si d'autres lignes (groupes) apparaissent, votre machine est vulnérable.

Solution

01 - Appliquer les correctifs de Microsoft (KB941644) concernant les vulnérabilités "IGMP" et "ICMP"

Bulletin de sécurité de Microsoft MS08-001
- http://support.microsoft.com/default.aspx?scid=kb;en-us;941644

02 - Solution palliative concernant la vulnérabilité "IGMP" (CVE-2007-0069)

Identifiant(s) du problème

Microsoft: Q941644
CVE: CVE-2007-0066
CVE: CVE-2007-0069
CERT/CC: VU#115083

Documentation additionnelle

Avis de sécurité de Microsoft MS08-001 du 8 janvier 2008
- http://www.microsoft.com/technet/security/bulletin/ms08-001.mspx
Avis de sécurité de l'US-CERT TA08-008A du 8 janvier 2008
- http://www.us-cert.gov/cas/techalerts/TA08-008A.html
Avis de sécurité de Nortel 683043 du 11 janvier 2008
- http://support.nortel.com/go/main.jsp?cscat=BLTNDETAIL&id=683043

Historique

Version

Commentaire

Date

2.1

Ajout de diverses informations

04 février 2008

2.0

Existence d'un programme d'exploitation privé et élévation du niveau de risque

31 janvier 2008

1.1

Ajout de produits impactés (Windows Vista et Windows Small Business Server 2003 SP 2)

25 janvier 2008

1.0

Création de l'avis

09 janvier 2008



Copyright © 1999-2008 Cert-IST \| Mentions légales \| Plan du site