CERT-XMCO : TrendMicro aurait découvert un malware exploitant l’une des failles de sécurité récemment corrigée par Microsoft
janvier 2012 par CERT-XMCO
* Malware Leveraging MIDI Remote Code Execution Vulnerability Found
– Date : 26 Janvier 2012
– Plateforme : Windows
– Gravité : Elevée
– Exploitation : Avec un fichier malicieux
– Dommage : Accès au système
– Description : L’éditeur de solutions antivirales Trend Micro vient de révéler avoir découvert aujourd’hui un nouveau malware exploitant l’une des failles de sécurité corrigée par Microsoft dans le cadre de son "Patch Tuesday" du mois de janvier.
La faille exploitée est référencée CVE-2012-0003 et correspond au bulletin MS12-004 de Microsoft (voir CXA-2012-0034). Celle-ci provient de la librairie Windows Multimedia, utilisée entre autres au sein de Windows Media Player (WMP). Lorsque celle-ci est amenée à manipuler un fichier MIDI spécialement conçu, un pirate est en mesure de provoquer une corruption de la mémoire pouvant être exploitée afin de corrompre le système à distance.
Pour mener cette attaque, les pirates auraient mis en ligne une page Internet spécialement conçue pour forcer le navigateur à charger le contrôle ActiveX correspondant au lecteur Windows Media. Le contrôle ActiveX est ensuite chargé de jouer un fichier au format MIDI dénommé "baby.mid" hébergé sur le même serveur que la page malveillante. La page Internet en question contient aussi un script JavaScript permettant aux pirates de copier en mémoire le code d’exploitation exécuté automatiquement dès lors que la corruption de la mémoire a été provoquée par le traitement du fichier MIDI. Ce code d’exploitation est chargé de télécharger et d’installer un rootkit.
La révélation de cette attaque pourrait permettre à des chercheurs ou à des pirates de publier d’autres codes d’exploitation. Le CERT-XMCO recommande donc l’installation d’urgence du correctif MS12-004.
– Vulnérable :
* Windows XP SP3
* Windows XP Édition Media Center 2005 SP3
* Windows XP Professionnel SP2 (Édition 64 bits)
* Windows Server 2003 SP2 (Éditions 32 bits, 64 bits et Itanium)
* Windows Vista SP2 (Éditions 32 bits et 64 bits)
* Windows Server 2008 SP2 (Éditions 32 bits, 64 bits et Itanium)
* Windows Server 2008 R2 et Windows Server 2008 R2 SP1 (Éditions 64 bits et Itanium)
* Windows 7 et Windows 7 SP1 (Éditions 32 bits et 64 bits)
* Pack TV Windows Media Center pour Windows Vista (Éditions 32 bits et 64 bits)
– Non Vulnérable :
* Windows 7 et Windows 7 SP1 (Éditions 32 bits et 64 bits)
* Windows Server 2008 R2 et Windows Server 2008 R2 SP1 (Éditions 64 btis et Itanium)
– Référence :
http://blog.trendmicro.com/malware-leveraging-midi-remote-code-execution-vulnerability-found/
http://technet.microsoft.com/en-us/security/bulletin/ms12-004
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0034
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003
– Correction :
Le CERT-XMCO recommande l’installation du correctif MS12-004 (KB2636391) disponible sur le site de l’éditeur aux adresses suivantes :
* Windows XP SP3 (Édition 32 bits) (KB2598479 et KB2631813)
http://www.microsoft.com/downloads/details.aspx?familyid=a142f7ba-4268-4453-a8eb-470213c028ac
http://www.microsoft.com/downloads/details.aspx?familyid=4b168ee8-eb15-4c2c-afb0-e63d62b4a6dc
* Windows XP Édition Media Center 2005 SP3 (Édition 32 bits) (KB2598479 et KB2631813)
http://www.microsoft.com/downloads/details.aspx?familyid=89b23d72-410f-4133-9c14-24eb01e5a732
http://www.microsoft.com/downloads/details.aspx?familyid=4b168ee8-eb15-4c2c-afb0-e63d62b4a6dc
* Windows XP Professionnel SP2 (Édition 64 bits) (KB2598479 et KB2631813)
http://www.microsoft.com/downloads/details.aspx?familyid=0928d720-ae88-40d6-b76f-636d67da8526
http://www.microsoft.com/downloads/details.aspx?familyid=13d74cc6-8d8e-45ea-8cdc-c15782f6626b
* Windows Server 2003 SP2 (Édition 32 bits) (KB2598479 et KB2631813)
http://www.microsoft.com/downloads/details.aspx?familyid=3c266dfb-630d-4f32-b2ca-63955279b6a9
http://www.microsoft.com/downloads/details.aspx?familyid=89ae6ed0-537f-421c-b755-ef28691abd88
* Windows Server 2003 SP2 (Édition 64 bits) (KB2598479 et KB2631813)
http://www.microsoft.com/downloads/details.aspx?familyid=8dd1c882-4ed1-4e47-a017-7d162bd94194
http://www.microsoft.com/downloads/details.aspx?familyid=08be569c-e9d1-4fc5-8670-ebe9da0a2072
* Windows Server 2003 SP2 (Édition Itanium) (KB2598479 et KB2631813)
http://www.microsoft.com/downloads/details.aspx?familyid=3a9b09d6-7060-47ab-9f76-c3c5acb024e6
http://www.microsoft.com/downloads/details.aspx?familyid=3401ac20-3701-471f-9757-097a9402d761
* Windows Vista SP2 (Édition 32 bits) (KB2598479 et KB2631813)
http://www.microsoft.com/downloads/details.aspx?familyid=99d9b9fc-ed37-4a32-a20d-6604a1b9c4ca
http://www.microsoft.com/downloads/details.aspx?familyid=4818059a-52ad-4c2e-9605-4e0f5d9da5ba
* Windows Vista SP2 (Édition 64 bits) (KB2598479 et KB2631813)
http://www.microsoft.com/downloads/details.aspx?familyid=9eff12b2-70a4-452b-b6bc-0d83f2edcf6c
http://www.microsoft.com/downloads/details.aspx?familyid=7ff10d7f-26a6-403a-a4b7-7aff55e2fa16
* Windows Server 2008 SP2 (Édition Itanium) (KB2598479 et KB2631813)
http://www.microsoft.com/downloads/details.aspx?familyid=4e2edb23-7f4e-4fe4-848c-1d744e0dce9f
http://www.microsoft.com/downloads/details.aspx?familyid=5e0394c9-3de4-46f6-ae7f-18d5a555532e
* Windows 7 et Windows 7 SP1 (Édition 32 bits) (KB2631813)
http://www.microsoft.com/downloads/details.aspx?familyid=d736daf8-db6d-485f-b0cb-7f2d8c86f9a2
* Windows 7 et Windows 7 SP1 (Édition 64 bits) (KB2631813)
http://www.microsoft.com/downloads/details.aspx?familyid=21b37775-3e7b-462d-8234-7c47d52daef9
* Windows Server 2008 R2 et Windows Server 2008 R2 SP1 (Édition 64 bits) (KB2631813)
http://www.microsoft.com/downloads/details.aspx?familyid=355c980d-ec2e-4b2d-a7d4-2e3dbd3a0dde
* Windows Server 2008 R2 et Windows Server 2008 R2 SP1 (Édition Itanium) (KB2631813)
http://www.microsoft.com/downloads/details.aspx?familyid=d4b2389e-fd9f-47c7-9afd-4077f5632c21
Par ailleurs, l’éditeur propose une solution de contournement à l’adresse suivante :
http://technet.microsoft.com/fr-fr/security/bulletin/ms12-004#section6
– Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0126