Computer Emergency Response Team - Industrie Services et Tertiaire Le CERT dédié à la communauté Industrie, Services et Tertiaire française
Accès membres english version [english version]
ACCUEIL PRESENTATION RESSOURCES CONTACTS FAQ RECHERCHER
Vers utilisant la vulnérabilité MS08-067 de Microsoft Windows
Avis et Alertes publics
Articles du Cert-IST
Liens utiles
Presse - Evénements
Version imprimante
Accueil | Ressources | Avis et Alertes publics | Dangers potentiels

Référence : CERT-IST/DG-2008.010
Version : 1.0
Date de la version : 06 Novembre 2008

Classification de la vulnérabilité
Risque :
Très élevé
Conséquence : Prise de contrôle du système
Niveau de confiance : Faille officielle

Information sur le(s) système(s) impacté(s)
Plate(s)-forme(s) impactée(s) :
  • Windows 2000 SP4
  • Windows XP SP2 et SP3
  • Windows XP Professional x64 Edition et Windows XP Professional x64 Edition SP2
  • Windows Server 2003 SP1 et Windows Server 2003 SP2
  • Windows Server 2003 SP1 (Itanium) et Windows Server 2003 SP2 (Itanium)
  • Windows Server 2003 x64 Edition et Windows Server 2003 x64 Edition SP2
  • Windows Vista et Windows Vista SP1
  • Windows Vista X64 Edition et Windows Vista X64 Edition SP1
Logiciel(s) impacté(s) :
  • Service "Serveur" de Windows
Liste des produits impactés

Description
Nature du problème :
Comme nous l'indiquions le 04/11/08 dans le Hub de Crise (HDC) consacré à la vulnérabilité CERT-IST/AV-2008.461 (bulletin Microsoft MS08_067), il a été détecté plusieurs vers qui utilisent cette vulnérabilité pour infecter des machines Windows vulnérables :
  • le ver KerBot
  • le ver Wecorl


Contrairement à ce que l'on pouvait redouter, ces vers n'ont pas une propagation massive. Cela peut-être dû au fait que :
  • soit leur moteur de propagation n'est pas performant,
  • soit les ports réseaux visés par le ver sont le plus souvent filtrés.


Dans tous les cas, il est urgent si cela n'a pas déjà été fait, de déployer les correctifs pour cette vulnérabilité. Un des scénarii de propagation préoccupant, est le cas où des postes nomades (infectés en dehors de l'entreprise) propagent l'infection à l'intranet de l'entreprise lors de leurs retours sur site.
Analyse détaillée :
 Ver KerBot 

Une description de ce ver est donnée dans l'avis CERT-IST/AV-2008.467.

Nota : "Kerbot" (ou "Kernelbot") est souvent utilisé pour désigner globalement le ver, mais il s'agit à l'origine du nom de la charge utile qui est déposée sur chaque machine infectée par le ver.

 Ver Wecorl 

Selon Symantec, ce ver tente d'infecter toutes les machines présentes sur le réseau local.
Il tente également de communiquer avec les sites suivants (des blancs ont été volontairement insérés dans les URL) :
  • [http://]robot. 10wrj. com
  • [http://]ls. cc86. info/mimi[...]
  • [http://]ls. lenovowireless. net/mimi[...]
  • [http://]ls. playswomen. com/mimi[...]
  • [http://]www. gsinvest. gov. cn/managenews/VoteMo[...]
  • [http://]ce. 10Wrj. com/10wrjcenew.exe (téléchargement du ver)


 Autres malwares connus 

D'autres codes malvaillant tentent également d'exploiter la vulnérabilité MS08-067 :
  • Cheval de Troie "Gimmiv" (avis CERT-IST/AV-2008.461).
  • Cheval de Troie "Clort". Ce cheval de Troie signalé par Microsoft pourrait être une variante de "Gimmiv" (Gimmiv-B).
  • L'ISC du SANS a signalé que le site mwcollect.org avait identifié que la machine d'IP 61.218.147.66 tentait d'infecter les machines vulnérables.

Solution

01 - Appliquer les solutions décrites dans l'avis CERT-IST/AV-2008.460

L'avis CERT-IST/AV-2008.460 indique les correctifs Microsoft à appliquer pour corriger la vulnérabilité MS08-067 de Windows.
Il donne aussi les mesures palliatives ainsi que les moyens de détecter l'exploitation de cette vulnérabilité.

Identifiant(s) du problème

Documentation additionnelle

Historique
Version Commentaire Date
1.0 Création du danger potentiel 06 Novembre 2008

Copyright © 1999-2010 Cert-IST | Mentions légales | Plan du site