CERTA-2005-ALE-019
Vulnerability from certfr_alerte - Published: - Updated:
Un code malveillant, d'ores et déjà utilisé sur l'Internet, exploite une vulnérabilité mal corrigée dans Microsoft Windows et permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Ce code permet de télécharger et d'exécuter un autre code malveillant à l'insu de l'utilisateur. Selon certains éditeurs d'anti-virus, le second code téléchargé serait un cheval de Troie.
Il apparaît que des messages électroniques non sollicités (spam) commencent à se propager en incitant à aller sur un site contenant des pages malicieusement construite et exploitant la vulnérabilité ou encore des messages avec une image véhiculant le code d'exploitation (``exploit''). Ces messages peuvent avoir par exemple pour caractéristiques:
- sujet : ``happy new year'';
- corps du texte : ``picture of 2006'';
- une pièce jointe contenant le code d'exploitation : ``HappyNewYear.jpg''.
Si cette image en pièce jointe est ouverte le code s'exécute et va chercher à télécharger un code malveillant qui peut être un cheval de Troie par exemple.
Description
Il apparaît que la vulnérabilité décrite dans le bulletin de sécurité du CERTA (cf. CERTA-2005-AVI-445) n'a été que partiellement ou incomplètement corrigée par le bulletin de sécurité Microsoft MS05-053 du 08 novembre 2005.
Cette vulnérabilité peut être exploitée au moyen d'un fichier wmf (Windows MetaFile) malicieusement construit. Un individu malveillant peut, au moyen d'un message électronique comprenant un tel fichier ou d'un site web malicieusement contruit, exécuter du code arbitraire à distance, sur un système mis à jour, lors de l'ouverture du fichier.
Un fichier wmf malicieusement contruit permet également de réaliser un déni de service sur de nombreuses autres fonctionnalités de Microsoft, notamment sur le processus explorer.exe lors de la prévisualisation d'un fichier wmf dans l'explorateur de fichiers.
Il est à noter (cf. chapitre 5.2) que cette vulnérabilité concerne toutes les applications qui utilisent le moteur de rendu graphique de Microsoft. Le code d'exploitation ne se limite donc pas aux seules applications Microsoft comme Internet Explorer ou encore un client de messagerie comme Outlook mais concerne aussi par exemple Google Desktop.
Contournement provisoire
Les contournements provisoires cités en paragraphes 5.2 et 5.3 nécessitent les privilèges administrateur pour être appliqués sur le système.
NB : le contournement provisoire cité en paragraphe 5.2 donne l'illusion de fonctionner sans les privilèges administrateur, du fait que l'utilisateur est informé du bon déroulement de la désactivation du composant shimgvw.dll. Cependant le composant vulnérable reste actif et par conséquent le système reste vulnérable.
5.1 Interdiction du composant shimgvw.dll dans la politique de sécurité
Le contournement provisoire suivant ne peut s'appliquer que dans le cas où vous disposez d'un ou plusieurs systèmes Microsoft Windows 2003 Server en tant que contrôleur de domaine.
Dans ce cas, vous pouvez appliquer une politique de sécurité interdisant l'utilisation du composant shimgvw.dll pour toute votre unité organisationnelle.
5.2 Désactivation du composant shimgvw.dll
Il apparaît que les applications faisant appel au composant shimgvw.dll de Microsoft Windows deviendraient vulnérables. Parmi les applications vulnérables, nous pouvons citer par exemple Mozilla Firefox, Google Desktop.
C'est pour cela que le CERTA propose un contournement provisoire plus radical que celui proposé au chapitre 5.2 en désactivant le composant shimgvw.dll. Cependant cela pourrait avoir des effets de bords sur des applications métiers utilisant cette dll.
Les composants de Microsoft Windows affectées par ce contournement provisoire seront au minimum :
- GDI+ File Thumbnail Extractor Windows Picture and Fax Viewer ;
- HTML Thumbnail Extractor Windows Picture and Fax Viewer ;
- Shell Image Data Factory Windows Picture and Fax Viewer ;
- Shell Image Property Handler Windows Picture and Fax Viewer ;
- Shell Image Verbs Windows Picture and Fax Viewer ;
- Summary Info Thumbnail Handler (DOCFILE) Windows Picture and Fax Viewer ;
Procédures à suivre :
- Afin de désactiver le composant shimgvw.dll de Microsoft Windows :
- Cliquez sur "Démarrer" puis sur "exécuter" ;
- tapez "regsvr32.exe -u shimgvw.dll" puis "Entrée.
- Afin de réactiver (lorsque le correctif sera disponible) le
composant shimgvw.dll de Microsoft Windows :
- Cliquez sur "Démarrer" puis sur "exécuter" ;
- tapez "regsvr32.exe shimgvw.dll" puis "Entrée".
Si vous ne disposez pas du fichier regsvr32.exe, il peut être téléchargé à partir du site de Microsoft, à l'adresse suivante :
http://support.microsoft.com/kb/q267279/
5.3 Contournement provisoire pour Internet Explorer
Afin de limiter l'impact d'un fichier wmf malveillant sur le système :
-
bloquer l'exécution après téléchargement de fichier ayant l'extension wmf ;
- cliquez sur "Démarrer" puis sur "Poste de travail" ;
- dans le menu "Outils" cliquez sur "Options des dossiers" ;
- dans l'onglet "Types de fichiers", sélectionnez dans la liste WMF ;
- dans l'encadré "Détails concernant l'extension 'WMF'", cliquez sur "Avancé" ;
- cochez l'option "Confirmer l'ouverture après le téléchargement" puis acceptez les modifications.
Le contournement cité ci-dessus prévient le téléchargement et l'exécution automatique du fichier malveillant, toutefois l'utilisateur peut télécharger et exécuter manuellement le fichier et provoquer ainsi la compromission de son système.
5.4 Rappels de principes généraux
- Afficher les messages en texte brut dans votre client de messagerie conformément à la note de recommandation CERTA-2000-REC-001 (cf. Section Documentation) ;
- en complément, la règle générale de mise à jour régulière des anti-virus est bien entendu à respecter dans ce cas là ;
- mémento du CERTA sur les virus (cf. section Documentation) ;
- Note d'information du CERTA sur le SPAM (cf. Documentation).
Solution
Appliquer le correctif tel qu'indiqué dans le bulletin de sécurité Microsoft MS06-001 (voir section Documentation).
None| Vendor | Product | Description | ||
|---|---|---|---|---|
| Microsoft | Windows | Microsoft Windows XP Professional x64 Edition ; | ||
| Microsoft | Windows | Microsoft Windows Server 2003 & Server 2003 Service Pack 1 ; | ||
| Microsoft | Windows | Microsoft Windows Server 2003 x64 Edition ; | ||
| Microsoft | Windows | Microsoft Windows Server 2003 & Server 2003 Service Pack 1 pour systèmes Itanium ; | ||
| Microsoft | Windows | Microsoft Windows XP Service Pack 1 & 2 ; | ||
| Microsoft | Windows | Microsoft Windows Millennium Edition. | ||
| Microsoft | Windows | Microsoft Windows 98 et 98 Second Edition ; | ||
| Microsoft | Windows | Microsoft Windows 2000 Service Pack 4 ; |
| Title | Publication Time | Tags | |
|---|---|---|---|
|
|
|||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Microsoft Windows XP Professional x64 Edition ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Windows Server 2003 \u0026 Server 2003 Service Pack 1 ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Windows Server 2003 x64 Edition ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Windows Server 2003 \u0026 Server 2003 Service Pack 1 pour syst\u00e8mes Itanium ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Windows XP Service Pack 1 \u0026 2 ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Windows Millennium Edition.",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Windows 98 et 98 Second Edition ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Windows 2000 Service Pack 4 ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
}
],
"affected_systems_content": null,
"closed_at": "2006-01-06",
"content": "## Description\n\nIl appara\u00eet que la vuln\u00e9rabilit\u00e9 d\u00e9crite dans le bulletin de s\u00e9curit\u00e9 du\nCERTA (cf. CERTA-2005-AVI-445) n\u0027a \u00e9t\u00e9 que partiellement ou\nincompl\u00e8tement corrig\u00e9e par le bulletin de s\u00e9curit\u00e9 Microsoft MS05-053\ndu 08 novembre 2005.\n\nCette vuln\u00e9rabilit\u00e9 peut \u00eatre exploit\u00e9e au moyen d\u0027un fichier wmf\n(Windows MetaFile) malicieusement construit. Un individu malveillant\npeut, au moyen d\u0027un message \u00e9lectronique comprenant un tel fichier ou\nd\u0027un site web malicieusement contruit, ex\u00e9cuter du code arbitraire \u00e0\ndistance, sur un syst\u00e8me mis \u00e0 jour, lors de l\u0027ouverture du fichier.\n\nUn fichier wmf malicieusement contruit permet \u00e9galement de r\u00e9aliser un\nd\u00e9ni de service sur de nombreuses autres fonctionnalit\u00e9s de Microsoft,\nnotamment sur le processus explorer.exe lors de la pr\u00e9visualisation d\u0027un\nfichier wmf dans l\u0027explorateur de fichiers.\n\nIl est \u00e0 noter (cf. chapitre 5.2) que cette vuln\u00e9rabilit\u00e9 concerne\ntoutes les applications qui utilisent le moteur de rendu graphique de\nMicrosoft. Le code d\u0027exploitation ne se limite donc pas aux seules\napplications Microsoft comme Internet Explorer ou encore un client de\nmessagerie comme Outlook mais concerne aussi par exemple Google Desktop.\n\n \n\n## Contournement provisoire\n\n\u003cspan class=\"textbf\"\u003eLes contournements provisoires cit\u00e9s en paragraphes\n5.2 et 5.3 n\u00e9cessitent les privil\u00e8ges administrateur pour \u00eatre appliqu\u00e9s\nsur le syst\u00e8me.\u003c/span\u003e\n\nNB : le contournement provisoire cit\u00e9 en paragraphe 5.2 donne l\u0027illusion\nde fonctionner sans les privil\u00e8ges administrateur, du fait que\nl\u0027utilisateur est inform\u00e9 du bon d\u00e9roulement de la d\u00e9sactivation du\ncomposant shimgvw.dll. Cependant le composant vuln\u00e9rable reste actif et\npar cons\u00e9quent le syst\u00e8me reste vuln\u00e9rable.\n\n## 5.1 Interdiction du composant shimgvw.dll dans la politique de s\u00e9curit\u00e9\n\nLe contournement provisoire suivant ne peut s\u0027appliquer que dans le cas\no\u00f9 vous disposez d\u0027un ou plusieurs syst\u00e8mes Microsoft Windows 2003\nServer en tant que contr\u00f4leur de domaine.\n\nDans ce cas, vous pouvez appliquer une politique de s\u00e9curit\u00e9 interdisant\nl\u0027utilisation du composant shimgvw.dll pour toute votre unit\u00e9\norganisationnelle.\n\n## 5.2 D\u00e9sactivation du composant shimgvw.dll\n\nIl appara\u00eet que les applications faisant appel au composant shimgvw.dll\nde Microsoft Windows deviendraient vuln\u00e9rables. Parmi les applications\nvuln\u00e9rables, nous pouvons citer par exemple Mozilla Firefox, Google\nDesktop.\n\nC\u0027est pour cela que le CERTA propose un contournement provisoire plus\nradical que celui propos\u00e9 au chapitre 5.2 en d\u00e9sactivant le composant\nshimgvw.dll. Cependant cela pourrait avoir des effets de bords sur des\napplications m\u00e9tiers utilisant cette dll.\n\nLes composants de Microsoft Windows affect\u00e9es par ce contournement\nprovisoire seront au minimum :\n\n- GDI+ File Thumbnail Extractor Windows Picture and Fax Viewer ;\n- HTML Thumbnail Extractor Windows Picture and Fax Viewer ;\n- Shell Image Data Factory Windows Picture and Fax Viewer ;\n- Shell Image Property Handler Windows Picture and Fax Viewer ;\n- Shell Image Verbs Windows Picture and Fax Viewer ;\n- Summary Info Thumbnail Handler (DOCFILE) Windows Picture and Fax\n Viewer ;\n\n \n\nProc\u00e9dures \u00e0 suivre :\n\n- Afin de d\u00e9sactiver le composant shimgvw.dll de Microsoft Windows :\n - Cliquez sur \"D\u00e9marrer\" puis sur \"ex\u00e9cuter\" ;\n - tapez \"regsvr32.exe -u shimgvw.dll\" puis \"Entr\u00e9e.\n- Afin de r\u00e9activer (lorsque le correctif sera disponible) le\n composant shimgvw.dll de Microsoft Windows :\n - Cliquez sur \"D\u00e9marrer\" puis sur \"ex\u00e9cuter\" ;\n - tapez \"regsvr32.exe shimgvw.dll\" puis \"Entr\u00e9e\".\n\nSi vous ne disposez pas du fichier regsvr32.exe, il peut \u00eatre t\u00e9l\u00e9charg\u00e9\n\u00e0 partir du site de Microsoft, \u00e0 l\u0027adresse suivante :\n\n http://support.microsoft.com/kb/q267279/\n\n## 5.3 Contournement provisoire pour Internet Explorer\n\nAfin de limiter l\u0027impact d\u0027un fichier wmf malveillant sur le syst\u00e8me :\n\n- bloquer l\u0027ex\u00e9cution apr\u00e8s t\u00e9l\u00e9chargement de fichier ayant\n l\u0027extension wmf ;\n\n 1. cliquez sur \"D\u00e9marrer\" puis sur \"Poste de travail\" ;\n 2. dans le menu \"Outils\" cliquez sur \"Options des dossiers\" ;\n 3. dans l\u0027onglet \"Types de fichiers\", s\u00e9lectionnez dans la liste\n WMF ;\n 4. dans l\u0027encadr\u00e9 \"D\u00e9tails concernant l\u0027extension \u0027WMF\u0027\", cliquez\n sur \"Avanc\u00e9\" ;\n 5. cochez l\u0027option \"Confirmer l\u0027ouverture apr\u00e8s le t\u00e9l\u00e9chargement\"\n puis acceptez les modifications.\n\n Le contournement cit\u00e9 ci-dessus pr\u00e9vient le t\u00e9l\u00e9chargement et\n l\u0027ex\u00e9cution automatique du fichier malveillant, toutefois\n l\u0027utilisateur peut t\u00e9l\u00e9charger et ex\u00e9cuter manuellement le fichier\n et provoquer ainsi la compromission de son syst\u00e8me.\n\n## 5.4 Rappels de principes g\u00e9n\u00e9raux\n\n- Afficher les messages en texte brut dans votre client de messagerie\n conform\u00e9ment \u00e0 la note de recommandation CERTA-2000-REC-001 (cf.\n Section Documentation) ;\n- en compl\u00e9ment, la r\u00e8gle g\u00e9n\u00e9rale de mise \u00e0 jour r\u00e9guli\u00e8re des\n anti-virus est bien entendu \u00e0 respecter dans ce cas l\u00e0 ;\n- m\u00e9mento du CERTA sur les virus (cf. section Documentation) ;\n- Note d\u0027information du CERTA sur le SPAM (cf. Documentation).\n\n## Solution\n\nAppliquer le correctif tel qu\u0027indiqu\u00e9 dans le bulletin de s\u00e9curit\u00e9\nMicrosoft MS06-001 (voir section Documentation).\n",
"cves": [],
"links": [
{
"title": "M\u00e9mento du CERTA sur les virus du 24 juin 2005 :",
"url": "http://www.certa.ssi.gouv.fr/site/CERTA-2005-MEM-001.pdf"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS06-001 du 05 janvier 2006 :",
"url": "http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 CERTA-2005-AVI-445 du 09 novembre 2005 :",
"url": "http://www.certa.ssi.gouv.fr/site/CERTA-2005-AVI-445/index.html"
},
{
"title": "Note de recommandation CERTA-2000-REC-001 du 16 mai 2000 :",
"url": "http://www.certa.ssi.gouv.fr/site/CERTA-2000-REC-001/index.html"
}
],
"reference": "CERTA-2005-ALE-019",
"revisions": [
{
"description": "ajout d\u0027un contournement provisoire.",
"revision_date": "2005-12-28T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Microsoft.",
"revision_date": "2005-12-29T00:00:00.000000"
},
{
"description": "ajout d\u0027un contournement provisoire.",
"revision_date": "2005-12-30T00:00:00.000000"
},
{
"description": "ajout des caract\u00e9ristiques de certains mails de spam.",
"revision_date": "2006-01-01T00:00:00.000000"
},
{
"description": "mise \u00e0 jour de la section Solution, ajout de la r\u00e9f\u00e9rence vers le bulletin de s\u00e9curit\u00e9 MS06-001 de Microsoft.",
"revision_date": "2006-01-06T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
},
{
"description": "D\u00e9ni de service"
}
],
"summary": "Un code malveillant, d\u0027ores et d\u00e9j\u00e0 utilis\u00e9 sur l\u0027Internet, exploite une\nvuln\u00e9rabilit\u00e9 mal corrig\u00e9e dans Microsoft Windows et permet \u00e0 un\nutilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance.\n\nCe code permet de t\u00e9l\u00e9charger et d\u0027ex\u00e9cuter un autre code malveillant \u00e0\nl\u0027insu de l\u0027utilisateur. Selon certains \u00e9diteurs d\u0027anti-virus, le second\ncode t\u00e9l\u00e9charg\u00e9 serait un cheval de Troie.\n\nIl appara\u00eet que des messages \u00e9lectroniques non sollicit\u00e9s (spam)\ncommencent \u00e0 se propager en incitant \u00e0 aller sur un site contenant des\npages malicieusement construite et exploitant la vuln\u00e9rabilit\u00e9 ou encore\ndes messages avec une image v\u00e9hiculant le code d\u0027exploitation\n(\\`\\`exploit\u0027\u0027). Ces messages peuvent avoir par exemple pour\ncaract\u00e9ristiques:\n\n- sujet : \\`\\`happy new year\u0027\u0027;\n- corps du texte : \\`\\`picture of 2006\u0027\u0027;\n- une pi\u00e8ce jointe contenant le code d\u0027exploitation :\n \\`\\`HappyNewYear.jpg\u0027\u0027.\n\nSi cette image en pi\u00e8ce jointe est ouverte le code s\u0027ex\u00e9cute et va\nchercher \u00e0 t\u00e9l\u00e9charger un code malveillant qui peut \u00eatre un cheval de\nTroie par exemple.\n",
"title": "Exploitation d\u0027une vuln\u00e9rabilit\u00e9 mal corrig\u00e9e dans Microsoft Windows",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Microsoft #912840 du 28 d\u00e9cembre 2005",
"url": "http://www.microsoft.com/technet/security/advisory/912840.mspx"
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.