Sous Windows 2000 et Windows XP, il est possible de mettre en place des alertes administrateur, afin de recevoir des notifications au sujet des problèmes système. Lorsque les indicateurs de performance système montrent un problème, l'alerte correspondante déclenche une action, comme l'envoi d'un message ou l'exécution d'un programme. Ce type d'alertes est particulièrement utile pour surveiller des machines critiques (serveurs, …).

Problème

Un problème a été découvert dans les mécanismes de journalisation sous Windows 2000 et Windows XP.

Le problème survient lorsqu'un des journaux d'événement (application, système ou sécurité) est configuré pour arrêter la journalisation lorsqu'il est plein (et non pour écraser les anciens événements), et lorsque le système est configuré pour envoyer des alertes (par exemple pour signaler un manque d'espace disque). En effet, lorsque l'un des journaux d'événement atteint sa taille maximale (et pas seulement le journal sécurité), ces alertes ne seront jamais envoyées.

Ceci permet à un utilisateur malicieux de remplir intentionnellement le journal d'événement sécurité, afin d'empêcher l'enregistrement des événements de sécurité suivants (sans que l'administrateur soit au courant). Le remplissage intentionnel du journal système peut empêcher de journaliser le fait qu'un disque est saturé, et permettre ainsi à un attaquant de provoquer l'arrêt d'une application donnée.

Nous rappelons que le Cert-IST dispense des formations "Mise en place de la journalisation et outils d'analyse des journaux" et "Investigation sur incidents", dans lesquelles ce type de problème est abordé. Dans le contexte particuler de ce problème, un correctif a été publié :

Solution

Ce problème a été corrigé dans le SP1 de Window XP et dans le SP3 de Windows 2000.

Références

• Archive de SecurityFocus du 11 octobre 2002 : http://online.securityfocus.com/archive/1/295341
• Article de la base de connaissance Microsoft Q329350 : http://support.microsoft.com/default.aspx?scid=kb;en-us;Q329350