Vulnérabilité critique non corrigée Widows...
Résolu/Fermé
jalobservateur
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
-
20 juil. 2010 à 04:26
Utilisateur anonyme - 7 août 2010 à 15:46
Utilisateur anonyme - 7 août 2010 à 15:46
A voir également:
- Vulnérabilité critique non corrigée Widows...
- Vulnérabilité - Guide
- 200 000 sites Web touchés par une grave faille de sécurité - Guide
- Faille de sécurité Outlook : appliquez vite le correctif de Microsoft ! - Guide
- Widows movie maker - Télécharger - Montage & Édition
- Faille de sécurité WinRAR : installez vite la dernière version ! - Guide
40 réponses
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
1 août 2010 à 03:43
1 août 2010 à 03:43
Bonsoir :)
Microsoft a annoncé un correctif pour cette vulnérabilité. Il sera publié lundi vers 10h PDT (17h en France).
Microsoft a annoncé un correctif pour cette vulnérabilité. Il sera publié lundi vers 10h PDT (17h en France).
Salut à tous
Pour la petite histoire autour de cette vulnérabilité :
http://translate.google.fr/...
L'exécution à distance du code malicieux dont parle jalobservateur consiste à exploiter le shell Windows qui peut être abusé à partir de code malveillant contenu dans un raccourci (*.lnk).
Le simple fait alors de visualiser le contenu d'une clé USB, d'un partage réseau (et/ou WebDAV) vérolé via l'explorateur (entre autre...), permet alors au *.lnk d'être exécuté automatiquement et sans intervention de l'utilisateur.
A ce stade on peut comparer un peu cette action à celle d'un autorun.inf ce qui permettra donc dans la foulée l'exécution du malware qui accompagne le lnk vérolé :
https://www.youtube.com/watch?v=1UxN7WJFTVg
https://archive.f-secure.com/weblog/archives/new_rootkit_en.pdf
Quelques essais en cours et en parallèles des recommandations microsoft :
https://blog.didierstevens.com/2010/07/20/mitigating-lnk-exploitation-with-srp/
https://blog.didierstevens.com/2010/07/18/mitigating-lnk-exploitation-with-ariad/
https://blog.didierstevens.com/programs/ariad/
Misc :-) :
http://www.ivanlef0u.tuxfamily.org/?p=411
++
Pour la petite histoire autour de cette vulnérabilité :
http://translate.google.fr/...
L'exécution à distance du code malicieux dont parle jalobservateur consiste à exploiter le shell Windows qui peut être abusé à partir de code malveillant contenu dans un raccourci (*.lnk).
Le simple fait alors de visualiser le contenu d'une clé USB, d'un partage réseau (et/ou WebDAV) vérolé via l'explorateur (entre autre...), permet alors au *.lnk d'être exécuté automatiquement et sans intervention de l'utilisateur.
A ce stade on peut comparer un peu cette action à celle d'un autorun.inf ce qui permettra donc dans la foulée l'exécution du malware qui accompagne le lnk vérolé :
https://www.youtube.com/watch?v=1UxN7WJFTVg
https://archive.f-secure.com/weblog/archives/new_rootkit_en.pdf
Quelques essais en cours et en parallèles des recommandations microsoft :
https://blog.didierstevens.com/2010/07/20/mitigating-lnk-exploitation-with-srp/
https://blog.didierstevens.com/2010/07/18/mitigating-lnk-exploitation-with-ariad/
https://blog.didierstevens.com/programs/ariad/
Misc :-) :
http://www.ivanlef0u.tuxfamily.org/?p=411
++
Utilisateur anonyme
20 juil. 2010 à 04:34
20 juil. 2010 à 04:34
salut Jâl
ouin comment je fais ?
http://www.cijoint.fr/cjlink.php?file=cj201007/cijhqNbmV8.jpg
ouin comment je fais ?
http://www.cijoint.fr/cjlink.php?file=cj201007/cijhqNbmV8.jpg
jalobservateur
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
930
Modifié par jalobservateur le 20/07/2010 à 04:38
Modifié par jalobservateur le 20/07/2010 à 04:38
MDR!!!!!!!!!!!!
Tu parles d'un bureau à la noix ^^
Bin moi je ferais : Crtl/Alt/suppr et je terminerais le processus ''Explorer'', ainsi tu les verras plus ^^, non mais là tu me scies ;-)
On dirais mon bureau il y a 4 ans, sauf que moi, les raccourcis fesaient tout le tour de l'écran et classés par catégories.
Là non ma suggestion première est la meilleure je pense pour toi :)
***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Tu parles d'un bureau à la noix ^^
Bin moi je ferais : Crtl/Alt/suppr et je terminerais le processus ''Explorer'', ainsi tu les verras plus ^^, non mais là tu me scies ;-)
On dirais mon bureau il y a 4 ans, sauf que moi, les raccourcis fesaient tout le tour de l'écran et classés par catégories.
Là non ma suggestion première est la meilleure je pense pour toi :)
***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
20 juil. 2010 à 04:42
20 juil. 2010 à 04:42
bah non chuis plein de test....:S
ca m'arrange pas ton histoire :D
ca m'arrange pas ton histoire :D
jalobservateur
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
930
Modifié par jalobservateur le 20/07/2010 à 04:49
Modifié par jalobservateur le 20/07/2010 à 04:49
Ok bin alors, tant qu'à tester, tu testeras un nouveau.ink gratos si tu en vois un :)
Ainsi, via l'exécution du code distant, tu auras un nouvel ami sur ta machine afin de discuter pour le reste de la nuit ^^
***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Ainsi, via l'exécution du code distant, tu auras un nouvel ami sur ta machine afin de discuter pour le reste de la nuit ^^
***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
jalobservateur
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
930
20 juil. 2010 à 05:05
20 juil. 2010 à 05:05
Moi m'en fou, j'ai un superbe Linux ^^
https://pix.louiz.org/o/1279595039.png
https://pix.louiz.org/o/1279595039.png
Cosmi10
Messages postés
839
Date d'inscription
vendredi 12 juin 2009
Statut
Membre
Dernière intervention
11 mars 2011
89
20 juil. 2010 à 05:20
20 juil. 2010 à 05:20
Cool le bureau !
jalobservateur
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
930
20 juil. 2010 à 05:55
20 juil. 2010 à 05:55
Oui ce bureau j'ai bidouillé un peu plus longtemps, j'avoue^^
Un bon 2 heures certain.
C'est rare, car d'habitude, un 10 minutes et ça me suffit :)
Un bon 2 heures certain.
C'est rare, car d'habitude, un 10 minutes et ça me suffit :)
jalobservateur
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
930
20 juil. 2010 à 13:41
20 juil. 2010 à 13:41
dernier petit up, bonne journée.
jalobservateur
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
930
Modifié par jalobservateur le 20/07/2010 à 14:56
Modifié par jalobservateur le 20/07/2010 à 14:56
Salut Moe:)
Oui super pour ces détails ^^
J'ai reçu avant-hier cette news, mais anglaise, alors j'ai posté hier, mais sans tous ces détails que tu mentionnes...
Mais effectivement, oui â va plus loin comme tu l'indique clairement, avec un complément d'infos reçu ce matin.
D'ou l'indication à ajouter de désactiver l'exécution automatique des périphériques amovibles...
Mais tu as mis les bonnes infos , Merci.
Bref â fini plus ces merdouilles:)
PS: La quantité d'infos est tellement volumineuse, que bien souvent, j'avoue que j'ai même plus envi de tout indiquer, ça demande trop de temps et il en reste même plus pour bosser.
***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Oui super pour ces détails ^^
J'ai reçu avant-hier cette news, mais anglaise, alors j'ai posté hier, mais sans tous ces détails que tu mentionnes...
Mais effectivement, oui â va plus loin comme tu l'indique clairement, avec un complément d'infos reçu ce matin.
D'ou l'indication à ajouter de désactiver l'exécution automatique des périphériques amovibles...
Mais tu as mis les bonnes infos , Merci.
Bref â fini plus ces merdouilles:)
PS: La quantité d'infos est tellement volumineuse, que bien souvent, j'avoue que j'ai même plus envi de tout indiquer, ça demande trop de temps et il en reste même plus pour bosser.
***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
22 juil. 2010 à 12:07
22 juil. 2010 à 12:07
hello,
un up pour la forme ... ;)
un up pour la forme ... ;)
Salut à tous
Une petite news en forme de up :-)
En attendant un correctif M$, Libor Morkovsky vient de sortir un programme très intéressant capable de fixer la vulnérabilité.
Testé avec le PoC d'ivanlef0u, le tool semble parfaitement effectuer le job en bloquant l'exécution du raccourci et lui attribue une icône en forme de "panneau d'interdiction" signifiant "visuellement" à l'utilisateur qu'il y a eu blocage.
L'avantage aussi côté utilisateur par rapport à l'astuce avec HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler est que l'outil est capable de distinguer les raccourcis vérolés de ceux qui ne le sont pas et donc l'apparence des raccourcis "clean" gardent leur aspect d'origine.
Ce qui n'est pas le cas actuellement avec l'astuce M$ qui touche tous les raccourcis sans distinction...
De plus, vue l'évolution des choses, le *.lnk n'est pas la seule extention à être touchée, par exemple l'astuce de M$ ne règlera pas le soucis avec un *.pif...
HKEY_CLASSES_ROOT\piffile\shellex\IconHandler et HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler pointant par défaut vers la même CLSID...
L'outil de Libor Morkovsky est capable de gèrer les deux extentions depuis aujourd'hui et anticipe donc une exploitation via les *.pif
Le prog s'appelle : LinkIconShim
https://code.google.com/archive/p/linkiconshim
Extrait du readme :
A simple shell extension that inserts itself in front of the original buggy lnk file handler and checks the incoming files. If a link to control panel item is found (the exploitable one), default 'blocked' icon is returned instead of trying to extract one by running arbitrary dll.
A tester pour le fun !
Bonne journée à tous.
++
Une petite news en forme de up :-)
En attendant un correctif M$, Libor Morkovsky vient de sortir un programme très intéressant capable de fixer la vulnérabilité.
Testé avec le PoC d'ivanlef0u, le tool semble parfaitement effectuer le job en bloquant l'exécution du raccourci et lui attribue une icône en forme de "panneau d'interdiction" signifiant "visuellement" à l'utilisateur qu'il y a eu blocage.
L'avantage aussi côté utilisateur par rapport à l'astuce avec HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler est que l'outil est capable de distinguer les raccourcis vérolés de ceux qui ne le sont pas et donc l'apparence des raccourcis "clean" gardent leur aspect d'origine.
Ce qui n'est pas le cas actuellement avec l'astuce M$ qui touche tous les raccourcis sans distinction...
De plus, vue l'évolution des choses, le *.lnk n'est pas la seule extention à être touchée, par exemple l'astuce de M$ ne règlera pas le soucis avec un *.pif...
HKEY_CLASSES_ROOT\piffile\shellex\IconHandler et HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler pointant par défaut vers la même CLSID...
L'outil de Libor Morkovsky est capable de gèrer les deux extentions depuis aujourd'hui et anticipe donc une exploitation via les *.pif
Le prog s'appelle : LinkIconShim
https://code.google.com/archive/p/linkiconshim
Extrait du readme :
A simple shell extension that inserts itself in front of the original buggy lnk file handler and checks the incoming files. If a link to control panel item is found (the exploitable one), default 'blocked' icon is returned instead of trying to extract one by running arbitrary dll.
A tester pour le fun !
Bonne journée à tous.
++
jalobservateur
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
930
22 juil. 2010 à 14:25
22 juil. 2010 à 14:25
Salut, tous ^^
Étant donné les derniers développements, j'enlève le résolu, car il semble que l'info seulement a fait réfléchir plus d'un et que des mesures sont prises à cet égard sur plusieurs forums.
Donc on laisse courrir l'info, dans ce cas + est mieux que - :)
J'imagine de Microsoft va d'ici une dixaine de jours, publier son correctif mensuel .
Mais entre-temps...
Étant donné les derniers développements, j'enlève le résolu, car il semble que l'info seulement a fait réfléchir plus d'un et que des mesures sont prises à cet égard sur plusieurs forums.
Donc on laisse courrir l'info, dans ce cas + est mieux que - :)
J'imagine de Microsoft va d'ici une dixaine de jours, publier son correctif mensuel .
Mais entre-temps...
Salut Jal,
Ouep et il faudra voir aussi si tous les OS pourront bénéficier du correctif à défaut du fixit...
Le bruit cours que des OS comme XP, XP Sp1 & Sp2 n'en bénéficieraient pas.
Si ça s'avèrait vrai, je suis tout à fait d'accord avec toi car,à ce moment-là, les liens vers des solutions de remplacement pourront être utiles.
Wait & see ! lol
++
Ouep et il faudra voir aussi si tous les OS pourront bénéficier du correctif à défaut du fixit...
Le bruit cours que des OS comme XP, XP Sp1 & Sp2 n'en bénéficieraient pas.
Si ça s'avèrait vrai, je suis tout à fait d'accord avec toi car,à ce moment-là, les liens vers des solutions de remplacement pourront être utiles.
Wait & see ! lol
++
jalobservateur
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
930
Modifié par jalobservateur le 22/07/2010 à 14:57
Modifié par jalobservateur le 22/07/2010 à 14:57
Hi m0e :)
Voici plus en détails mes infos source PDF
https://archive.f-secure.com/weblog/archives/new_rootkit_en.pdf
Pas mal ^^
Donc assez étendu le truc et plutôt réfléchi, encore une fois...
***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La route de la maitrise Linux, peut être longue, mais la voie est libre ^^
Voici plus en détails mes infos source PDF
https://archive.f-secure.com/weblog/archives/new_rootkit_en.pdf
Pas mal ^^
Donc assez étendu le truc et plutôt réfléchi, encore une fois...
***Membre Contributeur Sécurité***
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La route de la maitrise Linux, peut être longue, mais la voie est libre ^^
jalobservateur
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
930
22 juil. 2010 à 15:11
22 juil. 2010 à 15:11
Encore du rootkits en arrière plan....
J'ai débuté un brainstorming avec un éditeur AV, puis les stratégies actuelles sont toutes à revoir.
Bref je passe les détails, mais l'affinement des techniques nouvelles devra aboutir sur une refonte quasi totale des outils de détection...
W7 est une cible prévilégiée de ces nouvelles menaces et l'emphase semble être mise plus sur les failles noyau innées et s'exploitant allègrement.
Étant donné que Microsoft ne refondra pas son architecture, alors le développement AV a de beaux jour devant lui ^^
J'ai débuté un brainstorming avec un éditeur AV, puis les stratégies actuelles sont toutes à revoir.
Bref je passe les détails, mais l'affinement des techniques nouvelles devra aboutir sur une refonte quasi totale des outils de détection...
W7 est une cible prévilégiée de ces nouvelles menaces et l'emphase semble être mise plus sur les failles noyau innées et s'exploitant allègrement.
Étant donné que Microsoft ne refondra pas son architecture, alors le développement AV a de beaux jour devant lui ^^
Salut Jal, Gen
A propos de travaux sur de nouvelles techniques, celle-ci n'est pas mal non plus :
https://www.cnis-mag.com/lancer-un-malware-sans-toucher-a-la-bdr-le-dll-hell-frappe-encore.html
http://blog.mandiant.com/archives/1207
Bonne continuation.
A propos de travaux sur de nouvelles techniques, celle-ci n'est pas mal non plus :
https://www.cnis-mag.com/lancer-un-malware-sans-toucher-a-la-bdr-le-dll-hell-frappe-encore.html
http://blog.mandiant.com/archives/1207
Bonne continuation.
jalobservateur
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
930
22 juil. 2010 à 16:07
22 juil. 2010 à 16:07
up ^^
jalobservateur
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
930
23 juil. 2010 à 20:58
23 juil. 2010 à 20:58
up!