Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Compromission d’un système via la visite d’une page web utilisant le protocole "hcp" (centre d’aide et de support de Windows)

juin 2010 par CERT-XMCO

* Microsoft Security Advisory (2219475) - Vulnerability in Windows Help and Support Center Could Allow Remote Code Execution

 Date : 11 Juin 2010

 Plateforme : Windows

 Programmes :
* Microsoft Windows XP
* Microsoft Windows 2003

 Gravité : Urgente

 Exploitation : Distante

 Dommage : Accès au système

 Description :

Microsoft vient de publier un avis concernant une vulnérabilité dévoilée par Tavis Ormandy. L’exploitation de cette vulnérabilité permet à un attaquant de compromettre un système.

La vulnérabilité provient d’une mauvaise gestion des URL "hcp ://" par le centre d’aide et de support de Windows ("helpctr.exe"). Celles-ci sont destinées à permettre l’accès à de la documentation en ligne pour Microsoft Windows. En incitant un utilisateur à visiter un site spécialement conçu, un attaquant est en mesure d’exécuter du code malveillant sur la machine de sa victime.

Une preuve de concept est actuellement disponible sur internet (voir avis nº CXA-2010-0735), cependant aucune exploitation massive n’a pour le moment été détectée.

 Vulnérable :
* Microsoft Windows XP
* Microsoft Windows 2003

 Référence :

http://seclists.org/fulldisclosure/2010/Jun/205

http://www.microsoft.com/technet/security/advisory/2219475.mspx

http://blogs.technet.com/b/msrc/archive/2010/06/10/windows-
help-vulnerability-disclosure.aspx

http://www.scmagazineus.com/microsoft-confirms-help-center-vulnerability/article/172155/

http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0735

 Référence CVE :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1885

 Correction :

Aucun correctif n’est actuellement disponible. Il est cependant possible de dé-enregistrer le protocole HCP afin de contourner la vulnérabilité :

1 - Démarrer > Exécuter > tapper "Regedit" puis OK.

2 - Localiser et cliquer sur la clef de registre "HKEY_CLASSES_ROOT\HCP"

3 - Cliquer sur le menu "Fichier" et sélectionner "Exporter"

4 - Dans la boîte de dialogue, entrer "HCP_Protocol_Backup.reg" et cliquer sur enregistrer. Cette manipulation permet de créer une sauvegarde de la clef de registre dans le dossier "Mes Documents".

5 - Presser la touche "Supprimer" du clavier pour effacer la clef de registre. Confirmer en cliquant sur "Oui" dans la boite de dialogue.

Cette manipulation cassera tous les liens locaux légitimes utilisant "hcp ://". Par exemple, les liens du "Panneau de Contrôle" pourraient ne plus fonctionner.

Il est possible de ré-enregistrer le protocole HCP :

1 - Démarrer > Exécuter > tapper "Regedit" puis OK.

2 - Cliquer sur le menu "Fichier" et sélectionner "Importer".

3 - Dans la boîte de dialogue, choisir le fichier créer précédemment, à savoir "HCP_Protocol_Backup.reg".

 Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0734


Voir les articles précédents

    

Voir les articles suivants