Le CERT dédié à la communauté Industrie, Services et Tertiaire française

Accès membres [english version]

ACCUEIL PRESENTATION PUBLICATIONS ADHESION CONTACTS FAQ RECHERCHER

Nouvelle vulnérabilité critique dans Microsoft Windows (MS08-067)

Avis et Alertes publics Articles du Cert-IST Liens utiles Presse - Evénements Version imprimante		Accueil | Ressources | Avis et Alertes publics | Dangers potentiels Référence : CERT-IST/DG-2008.009 Version : 1.0 Date de la version : 24 Octobre 2008 Classification de la vulnérabilité Risque : Très élevé Conséquence : Prise de contrôle du système Catégorie de la vulnérabilité : Débordement de mémoire Niveau de confiance : Faille officielle Niveau de connaissance de l'attaquant : Connaisseur Moyen nécessaire à l'attaquant : Accès distant (sans compte) sur un service standard Information sur le(s) système(s) impacté(s) Plate(s)-forme(s) impactée(s) : Windows 2000 SP4 Windows XP SP2 et SP3 Windows XP Professional x64 Edition et Windows XP Professional x64 Edition SP2 Windows Server 2003 SP1 et Windows Server 2003 SP2 Windows Server 2003 SP1 (Itanium) et Windows Server 2003 SP2 (Itanium) Windows Server 2003 x64 Edition et Windows Server 2003 x64 Edition SP2 Windows Vista et Windows Vista SP1 Windows Vista X64 Edition et Windows Vista X64 Edition SP1 Windows Server 2008 pour les systèmes 32-bit, 64-bit et Itanium Logiciel(s) impacté(s) : Service "Serveur" de Windows Liste des produits impactés Description Contexte de publication : Ce DanGer potentiel fait suite à la publication hors cycle du bulletin de sécurité de Microsoft MS08-067 relatif à une vulnérabilité critique dans Windows. Nous avons émis à ce sujet l'avis CERT-IST/AV-2008.460. Nature du problème : Nous émettons un DanGer potentiel à propos de la vulnérabilité dans le service "Serveur" de Microsoft car il est très probable que des codes d'attaque permettant d'exploiter efficacement cette faille soient rendus publics sur Internet. D'autre part, Microsoft signale que cette vulnérabilité pourrait facilement être exploitée par un code malveillant de type ver ou virus (propagation automatique et rapide). Nous insistons particulièrement sur une application rapide des correctifs pour les raisons suivantes : la vulnérabilité est exploitable à distance, l'attaque ne nécessite pas d'authentification sur les systèmes Windows 2000, XP et 2003, l'hypothèse de voir un ver exploitant cette faille se répandre est tout à fait envisageable. Le CERT-IST vous recommande donc : d'appliquer les correctifs de Microsoft de manière urgente, de déployer des mesures palliatives (cf. solution 2) dans l'attente de l'application des correctifs,, enfin, d'utiliser les signatures fournies en solution 3 pour détecter les tentatives d'attaques. Solution 01 - Appliquer les correctifs de Microsoft (KB958644) concernant la vulnérabilité du service "Serveur" de Windows Des correctifs sont disponibles pour les différentes plates-formes impactées. Se reporter au bulletin de sécurité Microsoft MS08-067 pour obtenir le correctif approprié. Les correctifs décrits dans ce bulletin de sécurité de Microsoft annulent et remplacent ceux décrits dans le bulletin MS06-040 (Cf. avis CERT-IST/AV-2006.315). Bulletin de sécurité de Microsoft MS08-067 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx 02 - Appliquer des mesures palliatives pour empêcher l'exploitation de la vulnérabilité du service "Serveur" Filtrer les ports TCP 139 et 445 sur les équipements réseau situés en périphérie du réseau local et/ou à proximité des systèmes Microsoft Windows vulnérables. Maintenir à jour les signatures des anti-virus (une telle attaque pourrait se répandre via un ver ou un virus). Nota : Une solution temporaire peut éventuellement être de désactiver le service "Serveur" des systèmes vulnérables. Cependant cette solution entraîne des effets de bord non négligeables. Par exemple : impossibilité de partager des ressources (répertoires, imprimantes), impossibilité d'être administré à distance via les outils classiques de Microsoft. 03 - Outils et signatures permettant la détection de la vulnérabilité et de son exploitation Les signatures suivantes permettent de détecter des tentatives d'exploitation de cette vulnérabilité (liste non exhaustive). Plugin Nessus #34476 permettant la détection des systèmes vulnérables http://www.nessus.org/plugins/index.php?view=single&id=34476 Mise à jour de l'éditeur NAI - fichier DAT 5414 du 10/24/2008 http://www.mcafee.com/us/enterprise/downloads/index.html Symantec Initial Rapid Release version October 23, 2008 revision 040 http://www.symantec.com/business/security_response/definitions/download/index.jsp Signature de CA 31.6.6167 http://www3.ca.com/support/vicdownload/ Règles snort détectant l'exploitation de la vulnérabilité (MS08-067) http://www.snort.org/vrt/advisories/vrt-rules-2008-10-23.html Identifiant(s) du problème Microsoft: KB958644 CVE: CVE-2008-4250 CERT/CC: VU#827267 Documentation additionnelle Avis de sécurité de l'US-CERT TA08-297A du 23 octobre 2008 http://www.us-cert.gov/cas/techalerts/TA08-297A.html Avis de sécurité de Microsoft MS08-067 du 23 octobre 2008 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx Détection générique de Symantec "Bloodhound.Exploit.212" http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-102323-4508-99&tabid=1 Document de CA concernant le cheval de Troie "Gimmiv" http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=74579 Document de F-Secure concernant le cheval de Troie "Gimmiv" http://www.f-secure.com/v-descs/trojan-spy_w32_gimmiv_a.shtml Document de NAI concernant le cheval de Troie "Spy-Agent.da" http://vil.nai.com/vil/content/v_152898.htm Document de Sophos concernant le cheval de Troie "Gimmiv" http://www.sophos.com/security/analyses/viruses-and-spyware/trojgimmiva.html Post dans le blog SWI de Microsoft du 23 octobre 2008 http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx Historique Version Commentaire Date 1.0 Création du danger potentiel 24 Octobre 2008

Copyright © 1999-2012 Cert-IST | Mentions légales | Plan du site