[ALERTE] Patch de sécurité critique-MS08-067-Virus ConFicker

[bigstyle]

Ce soir, jeudi 23 octobre 2008, Microsoft Security Response Center prévoit de publier 1 bulletin de sécurité en dehors du cycle normal.

Préavis des Bulletins de sécurité Microsoft d'octobre 2008
http://www.microsoft.com/france/technet ... 8-oct.mspx
Bulletin de sécurité : http://www.microsoft.com/technet/securi ... 8-067.mspx
KB Microsoft : http://support.microsoft.com/kb/958644



Produits affectés Microsoft Windows

• Windows 2000 Service Pack 4 (Critique)
• Windows XP Service Pack 2 et Service Pack 3 (Critique)
• Windows XP professional x64 RTM et Service Pack 2 (Critique)
• Windows Server 2003 Service Pack 1 et Service Pack 2 (Critique)
• Windows Server 2003 x64 Edition RTM et Service Pack 2 (Critique)
• Windows Server 2003 pour Itanium Service Pack 1 et Service Pack 2 (Critique)
• Windows Vista RTM et Service Pack 1 (Important)
• Windows Vista x64 RTM et Service Pack 1 (Important)
• Windows Server 2008 32 bits (Important)
• Windows Server 2008 x64 (Important)
• Windows Server 2008 pour Itanium (Important)

Niveau maximum de sévérité : Critique
Impact : Exécution de code à distance
Détection : MBSA
Redémarrage : oui

Vous trouverez plus bas un script python permettant de tester la vulnérabilité à distance d'un poste de travail ou serveur.

[blackjack]

Merci pour l'info Freddy.

[bigstyle]

No problemo Dominique.

Je tâcherai de mettre plus d'infos dés que j'en aurai

[bigstyle]

Afin de compléter cette alerte majeure de sécurité, il faut savoir qu'elle touche le service Serveur (connexion RPC) de tous les postes de travail et serveur Windows 2000/XP/2003/2008/2008 Core/Vista.

Un petit bémol pour les postes sous XP SP2/Vista et 2008 pour lesquels le pare-feu est activé par défaut et par conséquent le service Serveur n'est pas accessible à distance (à moins qu'une exception ait été configuré pour autoriser le Partage de fichiers et d'imprimantes)

De plus si vous vous trouvez derrière un routeur (ou mieux un firewall) ne permettant pas l'accès au port 139/TCP et 445/TCP, cette faille ne sera pas exploitable depuis Internet (mais un vers sur le réseau arrivé via clé USB pourra aisément se propager en interne).

A noter également que cette faille est exploitable via une connexion anonyme pour 2000/XP/2003
Pour Vista et Windows 2008, il faudrait expressement avoir autorisé de permettre le partage de fichiers sur une interface de type "Public" pour que cette faille soit exploitable.

EDIT (24/10 à 15h39) :
Suite à la table ronde avec Microsoft, j'ai des infos un peu plus précise pour ceux que cela intéresse.

La couche RPC n'est pas mise à jour via cet hotfix. Uniquement la partie "serveur" de la DLL netapi32.dll a été corrigée dans cette DLL.Selon Microsoft il est donc trés improbable qu'il y ait des impacts sur des applications.

Un des symptomes (trés fréquent mais non systématique) de l'exploitation de cette faille sur votre système d'exploitation est le plantage du service svchost attaché au service Server. Si beaucoup d'erreur concernant le crash de ce service se trouve dans votre journal des évènements ou dans celui du DrWatson alors ce peut être un symptôme d'exploitation de la vulnérabilité.

P.S: Même Windows 7 Pre-Beta est concerné

[kazer]

En gros, pour éviter les problèmes (qui ne sont pas encore là, mais on peux toujours s'attendre à une zero day) vous avez plusieurs choix

- Installer le patch
- Avoir le pare feu actif bloquant (ou au moins filtrant) l'exception "Partage de fichiers et d'imprimante"
- Arrêter le service Serveur Mais il n'y aura plus de partage accessible

[bigstyle]

Pour info des malwares utilisant la faille ont déjà détecté

TrojanSpy:Win32/Gimmiv.A. : http://www.microsoft.com/security/porta ... 2fGimmiv.A
et
TrojanSpy:Win32/Gimmiv.A.dll : http://www.microsoft.com/security/porta ... mmiv.A.dll

Ils se chargent de downloader un fichier n2.exe afin d'utiliser l'exploit puis de s'auto-supprimer.

[kazer]

En détail

Activer le pare feu par GPO (Recommandé)
- Configuration Ordinateur->(Stratégies)->Modèles d'administration->Réseau->Connexions Réseau->Pare Feu Windows->Profil de Domaine (Et Profil Standard !)
--> Pare Feu Windows: Protéger toutes les connexions Windows -- Activé
--> Pare Feu windows: Autoriser le Partage de Fichier et d'imprimantes -- Désactivé
Il suffit de supprimer la stratégie pour faire un retour arrière

Arrêter le service Serveur
- Configuration Ordinateur->(Stratégies)->Paramètres Windows->Paramètres de Sécurité->Services Système->Serveur
--> Définir ce paramètre de stratégie -- Manuel ou Désactivé
Nécessite le rédémmarrage du poste
Il est nécessaire de faire une stratégie contraire pour revenir en arrière

[kazer]

J'ai mis le sujet en annonce globale (publié dans tous les forums)

[kazer]

Pour info des malwares utilisant la faille ont déjà détecté

TrojanSpy:Win32/Gimmiv.A. : http://www.microsoft.com/security/porta ... 2fGimmiv.A
et
TrojanSpy:Win32/Gimmiv.A.dll : http://www.microsoft.com/security/porta ... mmiv.A.dll

Ils se chargent de downloader un fichier n2.exe afin d'utiliser l'exploit puis de s'auto-supprimer.

C'est plus un PoC (Proof of Concept) pour le moment mais c'est une exploitation en 24h...

[bigstyle]

A noter qu'un autre workaround concernant Windows Vista/2008 existe :

On Windows Vista and Windows Server 2008, filter the affected RPC identifier

In addition to blocking ports with the Windows Firewall, the Windows Vista and Windows Server 2008 editions can selectively filter RPC Universally Unique Identifiers (UUID). To prevent this vulnerability, add a rule that blocks all RPC requests with the UUID equal to 4b324fc8-1670-01d3-1278-5a47bf6ee188. This is accomplished through the network shell. To access the network shell, run the following command from an elevated command prompt:

netsh

Once in the netsh environment, enter the following commands:

netsh>rpc
netsh rpc>filter
netsh rpc filter>add rule layer=um actiontype=block
netsh rpc filter>add condition field=if_uuid matchtype=equal data=4b324fc8-1670-01d3-1278-5a47bf6ee188
netsh rpc filter>add filter
netsh rpc filter>quit

The Filter Key is a randomly generated UUID specific to each system. To confirm the filter is in place, run the following command from an elevated command prompt:

netsh rpc filter show filter

If the commands are successful, the system displays the following information:


Listing all RPC Filters.
---------------------------------
filterKey: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
displayData.name: RPCFilter
displayData.description: RPC Filter
filterId: 0x12f79
layerKey: um
weight: Type: FWP_EMPTY Value: Empty
action.type: block
numFilterConditions: 1

Where filterKey: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx equates to the randomly generated UUID relevant to your system.

Impact of workaround. Certain applications that rely on the Microsoft Server Message Block (SMB) Protocol may not function as intended. However, you will still be able to view and use file shares and printer resources on other systems.

How to undo the workaround. Run the following command from an elevated command prompt:

netsh rpc filter delete filter xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Where filterKey: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx equates to the randomly generated UUID relevant to your system.

Source : http://www.microsoft.com/technet/securi ... 8-067.mspx

[kazer]

Il faut qu'au niveau des noyau 6.x la faille est de niveau important et non critique

[childerik]

Merci pour l'information

Mon WU a fait le travail ce matin.

Et puis derrière une Freebox en mode routeur.

Sauf mémoire défaillante de ma part, mais il me semble que c'est le premier blaster-like depuis XP SP2, non ?

[bigstyle]

Merci pour l'information

Mon WU a fait le travail ce matin.

Et puis derrière une Freebox en mode routeur.

Sauf mémoire défaillante de ma part, mais il me semble que c'est le premier blaster-like depuis XP SP2, non ?

Ouais c'est le 1er depuis Blaster.

Il est d'ailleurs en niveau de criticité "2" chez Microsoft ce qui est assez rare pour être signalé

[kazer]

Il faut qu'au niveau des noyau 6.x la faille est de niveau important et non critique

Pour info le niveau est important et non critique grâce à UAC (que beaucoup trop de monde désactive...)

[kazer]

Merci pour l'information

Mon WU a fait le travail ce matin.

Et puis derrière une Freebox en mode routeur.

Sauf mémoire défaillante de ma part, mais il me semble que c'est le premier blaster-like depuis XP SP2, non ?

Ouais c'est le 1er depuis Blaster.

Il est d'ailleurs en niveau de criticité "2" chez Microsoft ce qui est assez rare pour être signalé

Erreur, c'est le premier depuis Sasser (sortie plus tard par rapport à Blaster)