Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Le 0-day affectant le centre d’aide et de support de Microsoft est exploité sur Internet

juin 2010 par CERT-XMCO

* CXA-2010-0735

 Date : 16 Juin 2010

 Plateforme : Windows

 Programmes :
* Microsoft Windows XP
* Windows Server 2003

 Gravité : Elevée

 Exploitation : Avec une page web malicieuse

 Dommage : Accès au système

 Description :

Microsoft, ainsi que plusieurs éditeurs de solution antivirale tels que Sophos ou encore Trend Micro, ont annoncé hier avoir découvert certaines traces d’exploitation de la faille de sécurité récemment découverte par le chercheur Tavis Ormandy. La vulnérabilité en question, référencée CVE 2010-1885, affecte le centre d’aide et de support de Windows XP ainsi que de Windows Serveur 2003 (voir CXA-2010-0733).

Pour rappel, plusieurs exploits sont disponibles publiquement (voir CXA-2010-0735). Ceux-ci ont probablement aidé les pirates à exploiter à grande échelle cette faille de sécurité critique. La vulnérabilité a d’ailleurs été reconnue par Microsoft, qui a créé à l’occasion, un bulletin référencé KB2219475.

La page malveillante serait détectée avec les signatures Mal/HcpExpl-A et TROJ_HCPEXP.A, respectivement par Sophos et Trend Micro. Le fichier JavaScript responsable de l’exploitation de la faille serait, lui, détecté avec les signatures suivantes : Sus/HcpExpl-A (Sophos) ou JS_HCPDL.A (Trend Micro). Enfin, un cheval de Troie, détecté avec les signatures Troj/Drop-FS (Sophos) et TROJ_DROPPR.TEJ (Trend Micro), serait ensuite installé par le malware.

Nous vous encourageons à mettre en place la solution de contournement proposée par Microsoft, en attendant la probable publication d’un correctif officiel.

Enfin, la publication de ce 0-day par l’employé de Google remet en avant la question de la publication responsable des avis de sécurité et des vulnérabilités associés. En effet, d’après les dates indiquées par Ormandy, le chercheur n’aurait laissé que 5 jours à Microsoft pour travailler sur un correctif. De nombreux experts en sécurité lui sont tombés dessus pour cela. Le chercheur se défend en assurant que l’éditeur de Redmond n’était pas prêt à publier un correctif dans les 60 jours, et qu’il a agi de la sorte pour le forcer à être réactif...

 Vulnérable :
* Microsoft Windows XP
* Microsoft Windows 2003

 Référence :

http://www.microsoft.com/technet/security/advisory/2219475.mspx

http://www.sophos.com/blogs/sophoslabs/?p=10045

http://www.sophos.com/blogs/gc/g/2010/06/15/tavis-ormandy-pleased-
website-exploits-microsoft-zeroday/

http://www.sophos.com/support/knowledgebase/article/111188.html

http://www.theregister.co.uk/2010/06/15/windows_help_bug_exploited/

http://blog.trendmicro.com/microsoft-help-center-zero-day-exploits-loose/

http://threatpost.com/en_us/blogs/attackers-exploiting-windows-help-center-flaw-061510

http://www.net-security.org/secworld.php?id=9416

http://krebsonsecurity.com/2010/06/unpatched-windows-xp-flaw-being-exploited/

http://www.networkworld.com/news/2010/061510-controversial-windows-xp-vulnerability-now.html

http://seclists.org/fulldisclosure/2010/Jun/205

http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0733

http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0735

http://www.sophos.com/security/analyses/viruses-and-spyware/malhcpexpla.html

http://www.sophos.com/security/analyses/viruses-and-spyware/trojdropfs.html

http://www.sophos.com/security/analyses/suspicious-behavior-and-files/sushcpexpla.html

http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_HCPEXP.A

http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=JS_HCPDL.A

http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_DROPPR.TEJ

 Référence CVE :

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1885

 Correction :

Aucun correctif n’est actuellement disponible. Néanmoins, nous vous recommandons de mettre en place les solutions de contournement présentées dans le bulletin CXA-2010-0733.

Microsoft a d’ailleurs publié deux petits outils permettant de supprimer et de restaurer la clef de registre indiquée dans la solution proposée. Ces outils sont disponibles à l’adresse suivante :
http://support.microsoft.com/kb/2219475

 Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0752


Voir les articles précédents

    

Voir les articles suivants