CERTA-2000-AVI-052

Vulnerability from certfr_avis - Published: - Updated:

Si une librairie dynamique particulière se situe dans le même répertoire qu'un document Office quelconque, elle sera exécutée à condition que l'ouverture de ce document via l'explorateur lance l'application associée.

Description

Lors de l'ouverture d'un fichier par une application Office, si le système a besoin d'une librairie dynamique, il la recherche d'abord dans le répertoire de l'application, le répertoire où se trouve le fichier ouvert, puis dans les répertoires systèmes de Windows et enfin dans les répertoires indiqués par les chemins listés dans la variable PATH.

Les librairies msi.dll et Riched20.dll, sont normalement situées dans le répertoire winnt/system32 de Windows NT, et Windows/system dans le cas de windows 9x, et sont utilisées lors de l'exécution de WORD ou d'EXCEL (seulement msi.dll dans ce dernier cas).

Un utilisateur mal intentionné peut s'arranger pour qu'une de ces bibliothèques, qu'il aura modifiée au préalable en y mettant du code malicieux, soit située dans le même répertoire qu'un document que sa victime aura à ouvrir. Si l'application office n'est pas déjà ouverte, la librairie falsifiée sera chargée et exécutée.

Contournement provisoire

Le fait que l'application Office soit déjà ouverte empêche ce phénomène, car la librairie à charger en mémoire est déjà ouverte depuis le chemin nominal.

Il ne faut donc jamais ouvrir un document par un double-clique, ni par le menu contextuel de l'explorateur, mais exécuter l'application qui y est associée, et ouvrir le document à partir du menu fichier de l'application.

Désactiver, dans l'explorateur, l'association des fichier .doc et .dot avec WORD et .xls avec EXCEL.

Dans le menu affichage de l'explorateur ou du poste de travail, choisir options, dans la fenêtre qui s'ouvre, sélectionner l'onglet types de fichiers, enfin supprimer les entrées pour les types de documents indiqués.

Vérifier qu'il n'y a pas de fichier librairies .DLL dans des répertoires ne contenant que des données. Elle ne devraient pas y être.

Tout les systèmes Microsoft Windows, avec des applications Office telles que Word ou Excel dans le cas présent.

Impacted products
Vendor Product Description
References
SecurityFocus et BugTraq None vendor-advisory
Georgi Guninski None vendor-advisory

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eTout les syst\u00e8mes Microsoft Windows, avec des applications  Office telles que Word ou Excel dans le cas pr\u00e9sent.\u003c/P\u003e",
  "content": "## Description\n\nLors de l\u0027ouverture d\u0027un fichier par une application Office, si le\nsyst\u00e8me a besoin d\u0027une librairie dynamique, il la recherche d\u0027abord dans\nle r\u00e9pertoire de l\u0027application, le r\u00e9pertoire o\u00f9 se trouve le fichier\nouvert, puis dans les r\u00e9pertoires syst\u00e8mes de Windows et enfin dans les\nr\u00e9pertoires indiqu\u00e9s par les chemins list\u00e9s dans la variable PATH.\n\nLes librairies msi.dll et Riched20.dll, sont normalement situ\u00e9es dans le\nr\u00e9pertoire winnt/system32 de Windows NT, et Windows/system dans le cas\nde windows 9x, et sont utilis\u00e9es lors de l\u0027ex\u00e9cution de WORD ou d\u0027EXCEL\n(seulement msi.dll dans ce dernier cas).\n\nUn utilisateur mal intentionn\u00e9 peut s\u0027arranger pour qu\u0027une de ces\nbiblioth\u00e8ques, qu\u0027il aura modifi\u00e9e au pr\u00e9alable en y mettant du code\nmalicieux, soit situ\u00e9e dans le m\u00eame r\u00e9pertoire qu\u0027un document que sa\nvictime aura \u00e0 ouvrir. Si l\u0027application office n\u0027est pas d\u00e9j\u00e0 ouverte,\nla librairie falsifi\u00e9e sera charg\u00e9e et ex\u00e9cut\u00e9e.\n\n## Contournement provisoire\n\nLe fait que l\u0027application Office soit d\u00e9j\u00e0 ouverte emp\u00eache ce ph\u00e9nom\u00e8ne,\ncar la librairie \u00e0 charger en m\u00e9moire est d\u00e9j\u00e0 ouverte depuis le chemin\nnominal.\n\nIl ne faut donc jamais ouvrir un document par un double-clique, ni par\nle menu contextuel de l\u0027explorateur, mais ex\u00e9cuter l\u0027application qui y\nest associ\u00e9e, et ouvrir le document \u00e0 partir du menu fichier de\nl\u0027application.\n\nD\u00e9sactiver, dans l\u0027explorateur, l\u0027association des fichier .doc et .dot\navec WORD et .xls avec EXCEL.\n\nDans le menu affichage de l\u0027explorateur ou du poste de travail, choisir\noptions, dans la fen\u00eatre qui s\u0027ouvre, s\u00e9lectionner l\u0027onglet types de\nfichiers, enfin supprimer les entr\u00e9es pour les types de documents\nindiqu\u00e9s.\n\nV\u00e9rifier qu\u0027il n\u0027y a pas de fichier librairies .DLL dans des r\u00e9pertoires\nne contenant que des donn\u00e9es. Elle ne devraient pas y \u00eatre.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2000-AVI-052",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2000-09-25T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    }
  ],
  "summary": "Si une librairie dynamique particuli\u00e8re se situe dans le m\u00eame r\u00e9pertoire\nqu\u0027un document Office quelconque, elle sera ex\u00e9cut\u00e9e \u00e0 condition que\nl\u0027ouverture de ce document via l\u0027explorateur lance l\u0027application\nassoci\u00e9e.\n",
  "title": "Vuln\u00e9rabilit\u00e9 sous Windows li\u00e9e \u00e0 l\u0027ouverture d\u0027un Document Office",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "SecurityFocus et BugTraq",
      "url": null
    },
    {
      "published_at": null,
      "title": "Georgi Guninski",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.