Vous êtes sur le site public du Cert-IST
Mise à jour du garde-barrière personnel du système Microsoft Windows

Date :03 Octobre 2005

Publication: Article

Une faiblesse a été découverte dans l'interface graphique du garde-barrière des systèmes suivants :
·    Microsoft Windows XP Service Pack 2
·    Microsoft Windows XP Professional x64 Edition
·    Microsoft Windows Server 2003 Service Pack 1
·    Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
·    Microsoft Windows Server 2003 x64 Edition

Vulnérabilité

Par défaut, le garde-barrière personnel bloque les connexions entrantes sur le réseau qu'il protège. Pour les autoriser, un administrateur doit créer une "exception" au niveau de la configuration du garde-barrière.
Cette opération qui autorise un accès à des services réseau de la machine protégée est affichée dans l'interface graphique du garde-barrière de Windows.

Or il se trouve que cette interface graphique n'affiche pas les exceptions lorsque celles-ci ont été créées de manière spécifique, dans la base de registres.

Impact

Pour modifier la base de registres il est nécessaire d'avoir les privilèges administrateur, aussi cette vulnérabilité n'est-elle pas exploitable aisément.
Elle permet cependant à un attaquant ou à un ver ayant pris le contrôle d'un système vulnérable, via une vulnérabilité du système par exemple, d'ouvrir une porte dérobée sur ce dernier sans que la connexion utilisée ne soit signalée dans l'interface graphique du garde-barrière vulnérable.

Lors de la publication de l'avis de sécurité de Microsoft signalant cette vulnérabilité, le Cert-IST a jugé que le contexte d'exploitation de cette vulnérabilité était trop spécifique pour faire un avis de sécurité.

Contournement et correctif

Cette vulnérabilité impacte l'interface graphique du garde-barrière des systèmes Microsoft Windows, aussi la commande "netsh" peut-elle être utilisée en toute confiance pour contrôler les ports ouverts sur un système. La syntaxe à utiliser est la suivante :
           "netsh firewall show state verbose = enable"

Les prochains "Services Pack" de mises à jour de Microsoft corrigeront cette vulnérabilité. En attendant, un correctif est disponible pour Microsoft Windows SP2 à l'adresse suivante :
http://www.microsoft.com/downloads/details.aspx?familyid=478FD24B-B2C4-4207-B1B9-1C988698C888

Pour plus d'information

·    Avis de sécurité de Microsoft (897663) : http://www.microsoft.com/technet/security/advisory/897663.mspx
·    Article de la base de connaissance de Microsoft : http://support.microsoft.com/kb/897663