Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Le 0-day affectant le centre d’aide et de support de Microsoft est exploité sur Internet

juin 2010 par CERT-XMCO

* CXA-2010-0735

- Date : 16 Juin 2010

- Plateforme : Windows

- Programmes :
* Microsoft Windows XP
* Windows Server 2003

- Gravité : Elevée

- Exploitation : Avec une page web malicieuse

- Dommage : Accès au système

- Description :

Microsoft, ainsi que plusieurs éditeurs de solution antivirale tels que Sophos ou encore Trend Micro, ont annoncé hier avoir découvert certaines traces d’exploitation de la faille de sécurité récemment découverte par le chercheur Tavis Ormandy. La vulnérabilité en question, référencée CVE 2010-1885, affecte le centre d’aide et de support de Windows XP ainsi que de Windows Serveur 2003 (voir CXA-2010-0733).

Pour rappel, plusieurs exploits sont disponibles publiquement (voir CXA-2010-0735). Ceux-ci ont probablement aidé les pirates à exploiter à grande échelle cette faille de sécurité critique. La vulnérabilité a d’ailleurs été reconnue par Microsoft, qui a créé à l’occasion, un bulletin référencé KB2219475.

La page malveillante serait détectée avec les signatures Mal/HcpExpl-A et TROJ_HCPEXP.A, respectivement par Sophos et Trend Micro. Le fichier JavaScript responsable de l’exploitation de la faille serait, lui, détecté avec les signatures suivantes : Sus/HcpExpl-A (Sophos) ou JS_HCPDL.A (Trend Micro). Enfin, un cheval de Troie, détecté avec les signatures Troj/Drop-FS (Sophos) et TROJ_DROPPR.TEJ (Trend Micro), serait ensuite installé par le malware.

Nous vous encourageons à mettre en place la solution de contournement proposée par Microsoft, en attendant la probable publication d’un correctif officiel.

Enfin, la publication de ce 0-day par l’employé de Google remet en avant la question de la publication responsable des avis de sécurité et des vulnérabilités associés. En effet, d’après les dates indiquées par Ormandy, le chercheur n’aurait laissé que 5 jours à Microsoft pour travailler sur un correctif. De nombreux experts en sécurité lui sont tombés dessus pour cela. Le chercheur se défend en assurant que l’éditeur de Redmond n’était pas prêt à publier un correctif dans les 60 jours, et qu’il a agi de la sorte pour le forcer à être réactif...

- Vulnérable :
* Microsoft Windows XP
* Microsoft Windows 2003

- Référence :

http://www.microsoft.com/technet/se...

http://www.sophos.com/blogs/sophosl...

http://www.sophos.com/blogs/gc/g/20... website-exploits-microsoft-zeroday/

http://www.sophos.com/support/knowl...

http://www.theregister.co.uk/2010/0...

http://blog.trendmicro.com/microsof...

http://threatpost.com/en_us/blogs/a...

http://www.net-security.org/secworl...

http://krebsonsecurity.com/2010/06/...

http://www.networkworld.com/news/20...

http://seclists.org/fulldisclosure/...

http://www.xmcopartners.com/veille/...

http://www.xmcopartners.com/veille/...

http://www.sophos.com/security/anal...

http://www.sophos.com/security/anal...

http://www.sophos.com/security/anal...

http://threatinfo.trendmicro.com/vi...

http://threatinfo.trendmicro.com/vi...

http://threatinfo.trendmicro.com/vi...

- Référence CVE :

http://www.cve.mitre.org/cgi-bin/cv...

- Correction :

Aucun correctif n’est actuellement disponible. Néanmoins, nous vous recommandons de mettre en place les solutions de contournement présentées dans le bulletin CXA-2010-0733.

Microsoft a d’ailleurs publié deux petits outils permettant de supprimer et de restaurer la clef de registre indiquée dans la solution proposée. Ces outils sont disponibles à l’adresse suivante : http://support.microsoft.com/kb/2219475

- Lien extranet XMCO Partners :

http://xmcopartners.com/veille/clie...




Voir les articles précédents

    

Voir les articles suivants