Actu
XMCO : Publication d’un nouveau code exploitant la vulnérabilité du moteur XML d’Internet Explorer (0-day)
décembre 2008 par XMCO PARTNERS
IE XML Heap Corruption exploit
– Date : 16 Decembre 2008
– Plateforme : Windows
– Programme : Internet Explorer
– Gravité : Urgente
– Exploitation : Avec une page web malicieuse
– Dommage : Accès au système
– Description :
Un nouvel exploit a été publié affectant cette fois-ci Internet Explorer 7 pour les systèmes Windows XP et Vista. Celui-ci se matérialise sous la forme de page HTML et exploite une vulnérabilité non corrigée affectant la librairie MSHTML.DLL lors du traitement de certains tags XML (cf. bulletin XMCO n°1228993010 [2]).
Ce code permet d’exploiter la vulnérabilité et de lancer la calculatrice de Windows. En modifiant une partie de cet exploit (shellcode), un pirate peut exécuter un autre code sous les privilèges de l’utilisateur connecté, lui permettant de prendre le contrôle du système sous-jacent.
Cette version est maintenant fonctionnelle en l’état, quelque soit la plateforme et le langage du système d’exploitation utilisé (testé par notre laboratoire).
Cette vulnérabilité, maintenant massivement exploitée par les pirates et toujours non corrigée de la part de Microsoft, se commercialisait le mois dernier au prix de 15000 dollars.
Des contournements ont été expliqués par Microsoft afin de réduire l’impact de cette faille de sécurité.
– Exploit :
Un code d’exploitation est disponible sur notre extranet
– Vulnérable :
* Internet Explorer 7 des systèmes Windows XP SP2, SP3 et Vista.
– Référence :
[1] http://www.milw0rm.com/exploits/7477
[2] http://www.xmcopartners.com/veille/client/index.xmco?nv=1228993010
[3] http://www.microsoft.com/technet/security/advisory/961051.mspx
[4] http://www.scanw.com/blog/archives/303
[5] http://www.networkworld.com/news/2008/121108-chinese-team-mistakenly-released-unpatched.html?fsrc=rss-security
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4844
– Correction :
Aucun correctif n’a actuellement été publié par Microsoft, mais certaines mesures décrites par Microsoft permettent de réduire l’impact de cette faille de sécurité.
Des détails permettant de réaliser ces corrections temporaires sont disponibles à l’adresse suivante : http://blogs.technet.com/swi/archive/2008/12/12/Clarification-on-the-various-workarounds-from-the-recent-IE-advisory.aspx
La méthode de contournement la plus simple (n°5) consiste à désactiver un objet OLEDB32 COM en supprimant le dossier de registre suivant :
[-HKEY_CLASSES_ROOT\CLSID{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}]
Pour restaurer cette opération, il faut créer un fichier ".reg" et l’exécuter :
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}]
@="Microsoft OLE DB Row Position Library"
[HKEY_CLASSES_ROOT\CLSID{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}\InprocServer32]
@="%Program Files%\Common Files\System\Ole DB\oledb32.dll"
"ThreadingModel"="Both"
[HKEY_CLASSES_ROOT\CLSID{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}\ProgID]
@="RowPosition.RowPosition.1"
[HKEY_CLASSES_ROOT\CLSID{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}\VersionIndependentProgID]
@="RowPosition.RowPosition"
Note : en appliquant ce contournement, les applications ADO utilisant la fonctionnalité "RowPosition" et les applications OLE DB utilisant la librairie Row Position ne fonctionneront plus.
– Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1229423564
