War on the Network

Par ce doux mois de décembre propice aux sourires enjouées et aux cadeaux par milliers, Microsoft nous livre son dernier bulletin avancé de notification de l'année 2007.

Et ce douzième mois de l'année ne sera pas chômé avec pas moins de 7 correctifs annoncés donc 3 critiques.

Passons tout de suite à table :

• Un premier correctif critique s'accaparant à la correction d'au moins une vulnérabilité critique dans DirectX 7, 8.1, 9.0c et 10 sur tout les OS de la firme encore supportés permettant l'exécution de code arbitraire.
  
  
• Un second correctif critique s'attaque à au moins une vulnérabilité critique dans le composant Windows Media Format Runtime 7, 9, 9.1, 9.5 et 11 présent par défaut dans toute les versions supportées de Windows mis à part Server 2003 pour plate-forme Itanium et permettant l'exécution de code arbitraire.
  
  
• Un troisième correctif critique s'occupe du cas épineux d'Internet Explorer de sa version 5.1 à 7 sur toute les plates-formes. C'est en effet au moins une vulnérabilité critique permettant l'exécution de code arbitraire qui sera corrigée.
  

• Du côté des correctifs importants le premier concerne uniquement Windows Vista et permet l'exécution de code arbitraire.
  
  
• Un second correctif s'égosillera à corriger au moins une vulnérabilité importante dans Windows 2000 et Windows XP Édition Familiale permettant là encore l'exécution de code arbitraire.
  
  
• Un troisième correctif important jettera son dévolu sur Windows Vista en corrigeant au moins une vulnérabilité importante permettant une élévation des privilèges.
  
  
• Un quatrième et dernier correctif important s'illustre dans la correction d'au moins une vulnérabilité dans Windows XP et Server 2003 (hors plate-forme Itanium) permettant une élévation locale des privilèges.
  

C'est donc un patch Tuesday chargé qui nous attend en ce mois où les guirlandes scintillent toute la nuit dans les froides rues de nos villages.
Je vous donne rendez-vous Mardi 11 pour la publication et l'analyse détaillée des correctifs.

Consulter le bulletin avancé de notification de Microsoft pour le mois de Décembre

Une vulnérabilité critique vient d'être reportée par Microsoft lui-même dans toutes les versions supportées de Windows.
Mais comme pour ne pas me laisser en paix à minuit alors que j'allais me glisser sous les draps, la description de cette vulnérabilité est légèrement compliquée.

Elle concerne le Web Proxy Autodiscovery Protocol (WPAD). Ce dernier permet en fait aux entreprises de ne pas avoir à déclarer les paramètres du proxy sur chaque machine, le navigateur allant le chercher tout seul. Comme ça marche ? Et bien l'administrateur réseau doit déposer un fichier WPAD.dat dans un des sous domaines de son réseau, sous domaine devant se nomme obligatoirement WPAD.
Concrètement si l'organisation possède le domaine bank.com et que l'administrateur dépose le fichier WPAD.dat contenant les paramètres de proxy à l'adresse wpad.bank.com/WPAD.dat le navigateur va éplucher un par un chaque sous domaine du domaine bank.com pour trouver le fichier .dat.

Ainsi il va commencer par chercher à :
wpad.billets.argent.bank.com
Puis si il ne trouve pas :
wpad.argent.bank.com
Si il ne trouve toujours pas :
wpad.bank.com
Et là il devrait trouver et donc s'arrêter. Mais si il s'avérait qu'il ne trouvait pas à cet endroit non plus, il ne continuerait pas vers wpad.com puisque n'importe qui pourrait héberger un site malveillant à cette adresse qui n'est pas possédée par l'entreprise.

Mais prenons maintenant le même exemple avec une entreprise possédant le nom de domaine bank.co.uk.

Il va commencer à chercher à :
wpad.billets.argent.bank.co.uk
Puis si il ne trouve pas :
wpad.argent.bank.co.uk
Si il ne trouve toujours pas :
wpad.bank.co.uk
Si il trouve tout va toujours bien mais imaginons qu'il ne trouve pas. Il continue à chercher :
wpad.co.uk

Et oui le service ne s'arrête pas contrairement au cas avec le .com et c'est logique : il se dit "je m'arrête juste si il reste la dernière extension." et là il croit tout simplement être sur le domaine co.uk comme on aurait pu avoir bank.uk ou autre.
Et c'est donc là que le bât blesse puisque le domaine wpad.co.uk n'est pas contrôlé par l'entreprise et un fichier wpad.dat malveillant peut-y être placé.
Le navigateur croit enfin avoir trouvé son fichier et l'utilise alors que c'est un fichier totalement étranger à l'entreprise.

Microsoft a aujourd'hui confirmé le problème dans toutes les versions de Windows et d'Internet Explorer supportées. Il faut toutefois noter qu'utiliser un autre navigateur ne vous protègera pas étant donné qu'ils gèrent quasiment tous le WPAD.

En attendant un correctif il y a plusieurs possibilités pour se prémunir de ce type d'attaque /

• Soit désactiver complètement cette rechercher de fichiers WPAD.dat si vous n'en avez pas l'utilité (proxy non spécifiés ou spécifiés autrement) Option Internet > Connexion > Paramètres réseau > décocher "Détecter automatiquement les paramètres de connexion" sous IE.

• Soit s'assurer que le navigateur trouvera bien votre fichier WPAD.dat et ainsi qu'il n'aille pas le chercher plus loin que les frontières de votre domaine.

Consulter le bulletin d'alerte de Microsoft
Consulter l'article de Wikipedia à propos du WPAD

Une nouvelle vulnérabilité critique a été découverte dans le lecteur multimédia QuickTime d'Apple.

Cette faille concerne un problème dans la gestion des réponses RTSP lors de le lecture d'un contenu en steaming, et permet l'exécution de code arbitraire au traitement d'un requête de ce type contenant une valeur Content-Type spécialement grande.
Une réponse RTSP peut être obtenu à l'ouverture d'un fichier .QTL ou à la simple visite d'un site web faisant appel au plugin QuickTime.
Aucun correctif n'étant disponible, il convient d'être très prudent vis-à-vis de ces vecteurs potentiels d'attaque, d'autant plus qu'un code d'exploitation est publiquement disponible.

Consulter le bulletin d'alerte de Secunia

C'est en ce frileux début de l'avant dernier mois de l'année 2007 que Microsoft nous gratifie de son habituel bulletin avancé de notification des mises à jour sécuritaires qui seront publiées le mardi suivant, second mardi du mois.

Ce mois-ci ce sont uniquement deux correctifs qui sont annoncés par la firme en plus de l'habituel outil de suppression des logiciels malveillants.

Au menu :

• 1 correctif venant à bout d'au moins une vulnérabilité critique dans Windows XP et Server 2003. Ce correctif est très certainement dédié à la faille dans la gestion des URI dont je vous faisais écho dans ce post.
  

• 1 correctif s'attaquant à au moins une vulnérabilité de niveau important permettant un spoofing sous Windows 2000 et Server 2003.
  

C'est donc un Patch Tuesday particulièrement maigre qui nous attend selon toute vraisemblance et à moins d'un revirement de situation.
Rendez-vous donc Mardi 13 Novembre pour confirmer et découvrir le détail de tout cela.

Consulter le bulletin avancé de notification de Novembre

Sept vulnérabilités critiques ont été reportées dans le logiciel multimédia QuickTime.
Toute permettent l'exécution de code arbitraire, 4 via l'ouverture d'un fichier vidéo spécialement malformé, 2 par l'ouverture d'un fichier image en .PICT, et 1 dernière au chargement d'une page web malveillante contenant un appelet Java malveillant. Celui-ci pourra exécuter du code arbitraire avec un niveau de privilège élevé.

Toute ces vulnérabilités sont corrigées dans la version 7.3 de QuickTime. Les utilisateurs de ce logiciel doivent donc le mettre à jour au plus vite.

Consulter le bulletin d'alerte de Secunia