Xmco Partners : compromission d’une machine via plusieurs failles lors du traitement de paquets SMB (MS09-001)
janvier 2009 par XMCO PARTNERS
* KB958687 : Bulletin de sécurité Microsoft MS09-001
– Date : 14 Janvier 2009
– Plateforme : Windows
– Programme : SMB
– Gravité : Elevée
– Exploitation : Réseau local
– Dommages :
Contournement de sécurité
Accès au système
Déni de service
– Description :
Plusieurs vulnérabilités ont été corrigées au sein du moteur de traitement
des paquets SMB. L’exploitation de celles-ci permettait à un pirate de
prendre le contrôle de la machine vulnérable.
Les deux premières failles de sécurité proviennent d’erreurs de traitement
sur certains champs de messages SMB. En envoyant des paquets SMB
judicieusement forgés, un pirate pouvait provoquer un débordement de
tampon et exécuter du code malicieux sur la machine vulnérable.
L’exploitation de ces vulnérabilités nécessite que le service "Serveur"
soit démarré sur la machine de la victime, cependant nous attirons votre
attention sur le fait qu’aucun compte valide sur le système n’est
nécessaire.
La dernière faille de sécurité provient d’une erreur au sein du processus
de validation des paquets SMB "WRITE_ANDX" (srv.sys). En envoyant un
paquet malformé, un pirate pouvait alors provoquer le crash d’un système
Windows vulnérable. L’exploitation de cette vulnérabilité nécessite
l’utilisation d’un compte valide sur le système ou l’accès à interface
autorisant les connexions anonymes (NULL SESSIONS).
Note : Ce correctif remplace le précédent correctif MS08-063.
– Vulnérable :
* Microsoft Windows 2000 Service Pack 4
* Microsoft Windows XP SP2 et SP3 (toutes versions)
* Microsoft Windows Server 2003 SP0, SP1 et SP2 (toutes versions)
* Microsoft Windows Vista SP0 et SP1 (toutes versions)
* Microsoft Windows Server 2008 (toutes versions)
– Référence :
[FR]
http://www.microsoft.com/france/technet/security/Bulletin/ms09-001.mspx
[EN] http://www.microsoft.com/technet/security/Bulletin/ms09-001.mspx
– Référence CVE :
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4834
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4835
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4114
– Correction :
Nous recommandons vivement d’appliquer le correctif Microsoft KB958687
disponible à l’adresse placée en référence.
– Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1231925185