Nouvelle vulnérabilité critique dans Microsoft Windows (MS08-067)

1 of 2
Le CERT dédié à la communauté Industrie, Services et Tertiaire française
Détail du Danger Potentiel
Nouvelle vulnérabilité critique dans Microsoft Windows
(MS08-067)
Référence :
CERT-IST/DG-2008.009
Version :
1.0
Date de la version : 24 Octobre 2008
Classification de la vulnérabilité
Risque :
Très élevé
Conséquence :
Prise de contrôle du système
Niveau de connaissance de l'attaquant :
Connaisseur
Moyen nécessaire à l'attaquant :
A distance sans compte via un service standard
Information sur le(s) système(s) impacté(s)
Plate(s)-forme(s) impactée(s) :
Windows 2000 SP4
Windows XP SP2 et SP3
Windows XP Professional x64 Edition et Windows XP Professional x64 Edition SP2
Windows Server 2003 SP1 et Windows Server 2003 SP2
Windows Server 2003 SP1 (Itanium) et Windows Server 2003 SP2 (Itanium)
Windows Server 2003 x64 Edition et Windows Server 2003 x64 Edition SP2
Windows Vista et Windows Vista SP1
Windows Vista X64 Edition et Windows Vista X64 Edition SP1
Windows Server 2008 pour les systèmes 32-bit, 64-bit et Itanium
Logiciel(s) impacté(s) :
Service "Serveur" de Windows
Liste exhaustive des produits du catalogue Cert-IST impactés :
Description
Contexte de publication :
Ce DanGer potentiel fait suite à la publication hors cycle du bulletin de sécurité de Microsoft MS08-067 relatif à une vulnérabilité critique dans Windows. Nous avons
émis à ce sujet l'avis CERT-IST/AV-2008.460.
Nature du problème :
Nous émettons un DanGer potentiel à propos de la vulnérabilité dans le service "Serveur" de Microsoft car il est très probable que des codes d'attaque permettant
d'exploiter efficacement cette faille soient rendus publics sur Internet. D'autre part, Microsoft signale que cette vulnérabilité pourrait facilement être exploitée par un
code malveillant de type ver ou virus (propagation automatique et rapide).
Nous insistons particulièrement sur une application rapide des correctifs pour les raisons suivantes :
la vulnérabilité est exploitable à distance,
l'attaque ne nécessite pas d'authentification sur les systèmes Windows 2000, XP et 2003,
l'hypothèse de voir un ver exploitant cette faille se répandre est tout à fait envisageable.
Le CERT-IST vous recommande donc :
d'appliquer les correctifs de Microsoft de manière urgente,
de déployer des mesures palliatives (cf. solution 2) dans l'attente de l'application des correctifs,,
enfin, d'utiliser les signatures fournies en solution 3 pour détecter les tentatives d'attaques.
Solution
01 - Appliquer les correctifs de Microsoft (KB958644) concernant la vulnérabilité du service "Serveur" de Windows
Des correctifs sont disponibles pour les différentes plates-formes impactées.
Se reporter au bulletin de sécurité Microsoft MS08-067 pour obtenir le correctif approprié.
Les correctifs décrits dans ce bulletin de sécurité de Microsoft annulent et remplacent ceux décrits dans le bulletin MS06-040 (Cf. avis CERT-IST/AV-2006.315).
Bulletin de sécurité de Microsoft MS08-067
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
2 of 2
02 - Appliquer des mesures palliatives pour empêcher l'exploitation de la vulnérabilité du service "Serveur"
Filtrer les ports TCP 139 et 445 sur les équipements réseau situés en périphérie du réseau local et/ou à proximité des systèmes Microsoft Windows vulnérables.
Maintenir à jour les signatures des anti-virus (une telle attaque pourrait se répandre via un ver ou un virus).
Nota : Une solution temporaire peut éventuellement être de désactiver le service "Serveur" des systèmes vulnérables. Cependant cette solution entraîne des effets de
bord non négligeables. Par exemple :
impossibilité de partager des ressources (répertoires, imprimantes),
impossibilité d'être administré à distance via les outils classiques de Microsoft.
03 - Outils et signatures permettant la détection de la vulnérabilité et de son exploitation
Les signatures suivantes permettent de détecter des tentatives d'exploitation de cette vulnérabilité (liste non exhaustive).
Règles snort détectant l'exploitation de la vulnérabilité (MS08-067)
http://www.snort.org/vrt/advisories/vrt-rules-2008-10-23.html
Signature de CA 31.6.6167
http://www3.ca.com/support/vicdownload/
Symantec Initial Rapid Release version October 23, 2008 revision 040
http://www.symantec.com/business/security_response/definitions/download/index.jsp
Mise à jour de l'éditeur NAI - fichier DAT 5414 du 10/24/2008
http://www.mcafee.com/us/enterprise/downloads/index.html
Plugin Nessus #34476 permettant la détection des systèmes vulnérables
http://www.nessus.org/plugins/index.php?view=single&id=34476
Note(s) CVSS
Cert-IST - CERT-IST/DG-2008.009
Base score : Score temporaire : -
Identifiant(s) du problème
CVE: CVE-2008-4250
Microsoft: KB958644
CERT/CC: VU#827267
Documentation additionnelle
Avis de sécurité de Microsoft MS08-067 du 23 octobre 2008
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Post dans le blog SWI de Microsoft du 23 octobre 2008
http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx
Avis de sécurité de l'US-CERT TA08-297A du 23 octobre 2008
http://www.us-cert.gov/cas/techalerts/TA08-297A.html
Détection générique de Symantec "Bloodhound.Exploit.212"
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-102323-4508-99&tabid=1
Document de F-Secure concernant le cheval de Troie "Gimmiv"
http://www.f-secure.com/v-descs/trojan-spy_w32_gimmiv_a.shtml
Document de CA concernant le cheval de Troie "Gimmiv"
http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=74579
Document de Sophos concernant le cheval de Troie "Gimmiv"
http://www.sophos.com/security/analyses/viruses-and-spyware/trojgimmiva.html
Document de NAI concernant le cheval de Troie "Spy-Agent.da"
http://vil.nai.com/vil/content/v_152898.htm
Version
Commentaire
Date
1.0
Création du danger potentiel
24/10/2008
Copyright © 1999-2014 Cert-IST