certfr_avis - CERTA-2000-AVI-009

CERTA-2000-AVI-009

Vulnerability from certfr_avis - Published: - Updated:

Grâce à la lecture d'un fichier d'aide de Windows (extension .CHM) astucieusement construit, un utilisateur peut être conduit par une personne mal intentionnée à exécuter localement du code à son insu.

Description

Microsoft a proposé un format de fichiers d'aide pour Windows qui permet, en cliquant sur un lien, d'exécuter du code en local (programmes, ou scripts). Par exemple, en lisant l'aide de Windows pour configurer une imprimante, il est possible d'ouvrir le gestionnaire d'impression en cliquant sur un lien de cette aide.

Un utilisateur mal intentionné peut générer ce genre de fichier en y mettant des liens vers des fichiers exécutables locaux de son choix (voire vers des documents bureautique contenant des macros). Si ce fichier d'aide se trouve sur un lecteur réseau connecté (UNC) ou s'il est placé localement sur le disque (par détachement d'un mail, par exemple), il permet de faire exécuter des fichiers arbitraires par celui qui le lirait et cliquerait sur les liens insérés dans le texte. Il porfite du fait qu'en cliquant sur un lien on ne pense pas forcément exécuter du code.

Ce type de fichiers peut aussi être exécuté, de façon non-interactive, et donc à l'insu de l'utilisateur, via un contrôle ActiveX situé dans une page web ou dans un mail lu par Microsoft outlook.

Contournement provisoire

Il faut :

Rester vigilant vis à vis des des documents de tout type contenant éventuellement des scripts (macro, VBS, ActiveX, etc.).
Désactiver les contrôles ActiveX, comme indiqué dans les notes CERTA-2000-INF-002, CERTA-2000-AVI-002 et CERTA-2000-REC-001, pour les 4 types de Zones : Internet, Intranet Local, Sites de confiance (Maintenir une liste précise des sites utilisant HTTPS comme protocole), et Sites sensibles (Sites dont le contenu pourrait endomager votre système).

Il existe une cinquième zone, qui n'est généralement pas visible appelée « Poste de travail » (My Computer). Les paramètres de sécurité pour cette zone sont observables ou modifiables par la base des registres (regedit). Pour plus de détails voir le site de microsoft :
```
http://support.microsoft.com/support/kb/articles/Q182/569.asp
```
En outre, les paramètres de sécurité de la zone poste de travail peuvent être administrés grâce au logiciel « Internet Explorer Administration Kit » (IEAK).

Pour la version francaise :
```
http://www.microsoft.com/windows/ieak/fr/download/default.asp
```

Solution

6.1 À la main

Le contrôle HHCtrl est le point central de l'exploitation de cette vulnérabilité. Si vous désirez agir plus finement (à vos risques et périls) que dans les recommandations générales des notes du CERTA, le CERT/CC propose de désactiver soit « Contrôles ActiveX reconnus sûrs pour l'écriture de scripts » soit les « Contrôles d'initialisation et de scripts ActiveX non marqués » uniquement pour le contrôle HHCtrl, qui sont tous les deux activés par défaut lors de l'installation d'Internet Explorer.

Pour celà, supprimez l'une des deux clefs suivantes de la base de registres :

HKEY_CLASSES_ROOT\CLSID\ {ADB880A6-D8FF-11CF-9377-00AA003B7A11}``\ Implemented Categories\ {7DD95801-9882-11CF-9FA9-00AA006C42C4}
HKEY_CLASSES_ROOT\CLSID\ {ADB880A6-D8FF-11CF-9377-00AA003B7A11}``\ Implemented Categories\ {7DD95802-9882-11CF-9FA9-00AA006C42C4}

6.2 correctif partiel

Microsoft fournit un correctif qui n'autorise pas l'exécution de code, par un lien situé dans un fichier d'aide de ce type, se trouvant sur un lecteur réseau. Ce correctif ne traite pas l'exécution de code si le fichier d'aide se trouve sur un disque local (suite à un télechargement par exemple) :

Pour Internet explorer 4.0, 4.01, 5.0 et 5.01 sous Windows 95, 98 première et seconde édition et Windows NT4.0 :
```
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=210705
```

Pour Internet Explorer 5.01 sous Windows2000

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=210706

Enfin, microsoft propose aussi un correctif pour outlook, protègeant un peu plus les utilisateurs de ce gestionnaire de courriers contre les scripts contenus dans les mails et les pièces jointes.

Pour le télecharger aller à l'adresse suivante :

http://www.officeupdate.com/2000/downloaddetails/out2ksec.htm

Tout système utilisant Microsoft Internet Explorer.

Impacted products

	Vendor	Product	Description

References

Title

Publication Time

Tags

Bulletin de Microsoft	None	vendor-advisory
Avis CA-2000-12 du CERT/CC	None	vendor-advisory
Modification des paramètres de la zone « poste de travail » par la base des registres	-	other
Avis du CERT/CC :	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eTout syst\u00e8me utilisant Microsoft Internet Explorer.\u003c/P\u003e",
  "content": "## Description\n\nMicrosoft a propos\u00e9 un format de fichiers d\u0027aide pour Windows qui\npermet, en cliquant sur un lien, d\u0027ex\u00e9cuter du code en local\n(programmes, ou scripts). Par exemple, en lisant l\u0027aide de Windows pour\nconfigurer une imprimante, il est possible d\u0027ouvrir le gestionnaire\nd\u0027impression en cliquant sur un lien de cette aide.\n\nUn utilisateur mal intentionn\u00e9 peut g\u00e9n\u00e9rer ce genre de fichier en y\nmettant des liens vers des fichiers ex\u00e9cutables locaux de son choix\n(voire vers des documents bureautique contenant des macros). Si ce\nfichier d\u0027aide se trouve sur un lecteur r\u00e9seau connect\u00e9 (UNC) ou s\u0027il\nest plac\u00e9 localement sur le disque (par d\u00e9tachement d\u0027un mail, par\nexemple), il permet de faire ex\u00e9cuter des fichiers arbitraires par celui\nqui le lirait et cliquerait sur les liens ins\u00e9r\u00e9s dans le texte. Il\nporfite du fait qu\u0027en cliquant sur un lien on ne pense pas forc\u00e9ment\nex\u00e9cuter du code.\n\nCe type de fichiers peut aussi \u00eatre ex\u00e9cut\u00e9, de fa\u00e7on non-interactive,\net donc \u00e0 l\u0027insu de l\u0027utilisateur, via un contr\u00f4le ActiveX situ\u00e9 dans\nune page web ou dans un mail lu par Microsoft outlook.\n\n## Contournement provisoire\n\nIl faut :\n\n-   Rester vigilant vis \u00e0 vis des des documents de tout type contenant\n    \u00e9ventuellement des scripts (macro, VBS, ActiveX, etc.).\n\n-   D\u00e9sactiver les contr\u00f4les ActiveX, comme indiqu\u00e9 dans les notes\n    CERTA-2000-INF-002, CERTA-2000-AVI-002 et CERTA-2000-REC-001, pour\n    les 4 types de Zones : Internet, Intranet Local, Sites de confiance\n    (Maintenir une liste pr\u00e9cise des sites utilisant HTTPS comme\n    protocole), et Sites sensibles (Sites dont le contenu pourrait\n    endomager votre syst\u00e8me).\n\n    Il existe une cinqui\u00e8me zone, qui n\u0027est g\u00e9n\u00e9ralement pas visible\n    appel\u00e9e \u00ab Poste de travail \u00bb (My Computer). Les param\u00e8tres de\n    s\u00e9curit\u00e9 pour cette zone sont observables ou modifiables par la base\n    des registres (regedit). Pour plus de d\u00e9tails voir le site de\n    microsoft :\n\n        http://support.microsoft.com/support/kb/articles/Q182/569.asp\n\n    En outre, les param\u00e8tres de s\u00e9curit\u00e9 de la zone poste de travail\n    peuvent \u00eatre administr\u00e9s gr\u00e2ce au logiciel \u00ab Internet Explorer\n    Administration Kit \u00bb (IEAK).\n\n    Pour la version francaise :\n\n        http://www.microsoft.com/windows/ieak/fr/download/default.asp\n\n## Solution\n\n## 6.1 \u00c0 la main\n\nLe contr\u00f4le HHCtrl est le point central de l\u0027exploitation de cette\nvuln\u00e9rabilit\u00e9. Si vous d\u00e9sirez agir plus finement (\u00e0 vos risques et\np\u00e9rils) que dans les recommandations g\u00e9n\u00e9rales des notes du CERTA, le\nCERT/CC propose de d\u00e9sactiver soit \u00ab Contr\u00f4les ActiveX reconnus s\u00fbrs\npour l\u0027\u00e9criture de scripts \u00bb soit les \u00ab Contr\u00f4les d\u0027initialisation et de\nscripts ActiveX non marqu\u00e9s \u00bb uniquement pour le contr\u00f4le HHCtrl, qui\nsont tous les deux activ\u00e9s par d\u00e9faut lors de l\u0027installation d\u0027Internet\nExplorer.\n\nPour cel\u00e0, supprimez l\u0027une des deux clefs suivantes de la base de\nregistres :\n\n-   HKEY_CLASSES_ROOT`\\`CLSID`\\`\n    `{`ADB880A6-D8FF-11CF-9377-00AA003B7A11`}``\\` Implemented\n    Categories`\\` `{`7DD95801-9882-11CF-9FA9-00AA006C42C4`}`\n-   HKEY_CLASSES_ROOT`\\`CLSID`\\`\n    `{`ADB880A6-D8FF-11CF-9377-00AA003B7A11`}``\\` Implemented\n    Categories`\\` `{`7DD95802-9882-11CF-9FA9-00AA006C42C4`}`\n\n## 6.2 correctif partiel\n\nMicrosoft fournit un correctif qui n\u0027autorise pas l\u0027ex\u00e9cution de code,\npar un lien situ\u00e9 dans un fichier d\u0027aide de ce type, se trouvant sur un\nlecteur r\u00e9seau. Ce correctif ne traite pas l\u0027ex\u00e9cution de code si le\nfichier d\u0027aide se trouve sur un disque local (suite \u00e0 un t\u00e9lechargement\npar exemple) :\n\n-   Pour Internet explorer 4.0, 4.01, 5.0 et 5.01 sous Windows 95, 98\n    premi\u00e8re et seconde \u00e9dition et Windows NT4.0 :\n\n        http://www.microsoft.com/Downloads/Release.asp?ReleaseID=210705\n\n-   Pour Internet Explorer 5.01 sous Windows2000\n\n        http://www.microsoft.com/Downloads/Release.asp?ReleaseID=210706\n\nEnfin, microsoft propose aussi un correctif pour outlook, prot\u00e8geant un\npeu plus les utilisateurs de ce gestionnaire de courriers contre les\nscripts contenus dans les mails et les pi\u00e8ces jointes.\n\nPour le t\u00e9lecharger aller \u00e0 l\u0027adresse suivante :\n\n    http://www.officeupdate.com/2000/downloaddetails/out2ksec.htm\n",
  "cves": [],
  "links": [
    {
      "title": "Modification des param\u00e8tres de la zone \u00ab poste de travail \u00bb    par la base des registres",
      "url": "http://support.microsoft.com/support/kb/articles/Q182/569.asp"
    },
    {
      "title": "Avis du CERT/CC :",
      "url": "http://www.cert.org/advisories/CA-2000-12.html"
    }
  ],
  "reference": "CERTA-2000-AVI-009",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2000-06-20T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution arbitraire de fichiers locaux"
    }
  ],
  "summary": "Gr\u00e2ce \u00e0 la lecture d\u0027un fichier d\u0027aide de Windows (extension .CHM)\nastucieusement construit, un utilisateur peut \u00eatre conduit par une\npersonne mal intentionn\u00e9e \u00e0 ex\u00e9cuter localement du code \u00e0 son insu.\n",
  "title": "Ex\u00e9cution de fichiers locaux gr\u00e2ce aux fichiers d\u0027aides de Microsoft Windows",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de Microsoft",
      "url": "http://www.microsoft.com/technet/security/bulletin/fq00-037.asp"
    },
    {
      "published_at": null,
      "title": "Avis CA-2000-12 du CERT/CC",
      "url": null
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted