CERT-XMCO : Compromission d’un système via la visite d’une page web utilisant le protocole "hcp" (centre d’aide et de support de Windows)
juin 2010 par CERT-XMCO
* Microsoft Security Advisory (2219475) - Vulnerability in Windows Help and Support Center Could Allow Remote Code Execution
– Date : 11 Juin 2010
– Plateforme : Windows
– Programmes :
* Microsoft Windows XP
* Microsoft Windows 2003
– Gravité : Urgente
– Exploitation : Distante
– Dommage : Accès au système
– Description :
Microsoft vient de publier un avis concernant une vulnérabilité dévoilée par Tavis Ormandy. L’exploitation de cette vulnérabilité permet à un attaquant de compromettre un système.
La vulnérabilité provient d’une mauvaise gestion des URL "hcp ://" par le centre d’aide et de support de Windows ("helpctr.exe"). Celles-ci sont destinées à permettre l’accès à de la documentation en ligne pour Microsoft Windows. En incitant un utilisateur à visiter un site spécialement conçu, un attaquant est en mesure d’exécuter du code malveillant sur la machine de sa victime.
Une preuve de concept est actuellement disponible sur internet (voir avis nº CXA-2010-0735), cependant aucune exploitation massive n’a pour le moment été détectée.
– Vulnérable :
* Microsoft Windows XP
* Microsoft Windows 2003
– Référence :
http://seclists.org/fulldisclosure/2010/Jun/205
http://www.microsoft.com/technet/security/advisory/2219475.mspx
http://blogs.technet.com/b/msrc/archive/2010/06/10/windows-
help-vulnerability-disclosure.aspx
http://www.scmagazineus.com/microsoft-confirms-help-center-vulnerability/article/172155/
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0735
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1885
– Correction :
Aucun correctif n’est actuellement disponible. Il est cependant possible de dé-enregistrer le protocole HCP afin de contourner la vulnérabilité :
1 - Démarrer > Exécuter > tapper "Regedit" puis OK.
2 - Localiser et cliquer sur la clef de registre "HKEY_CLASSES_ROOT\HCP"
3 - Cliquer sur le menu "Fichier" et sélectionner "Exporter"
4 - Dans la boîte de dialogue, entrer "HCP_Protocol_Backup.reg" et cliquer sur enregistrer. Cette manipulation permet de créer une sauvegarde de la clef de registre dans le dossier "Mes Documents".
5 - Presser la touche "Supprimer" du clavier pour effacer la clef de registre. Confirmer en cliquant sur "Oui" dans la boite de dialogue.
Cette manipulation cassera tous les liens locaux légitimes utilisant "hcp ://". Par exemple, les liens du "Panneau de Contrôle" pourraient ne plus fonctionner.
Il est possible de ré-enregistrer le protocole HCP :
1 - Démarrer > Exécuter > tapper "Regedit" puis OK.
2 - Cliquer sur le menu "Fichier" et sélectionner "Importer".
3 - Dans la boîte de dialogue, choisir le fichier créer précédemment, à savoir "HCP_Protocol_Backup.reg".
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0734