locked
[ALERTE] Patch de securite critique - Conficker-"Blaster like" - MS08-067 RRS feed

  • Discussion générale

  •  

    Aujourd'hui, jeudi 23 octobre 2008, Microsoft Security Response Center a publié 1 bulletin de sécurité en dehors du cycle normal.

    Préavis des Bulletins de sécurité Microsoft d'octobre 2008
    http://www.microsoft.com/france/technet ... 8-oct.mspx
    Bulletin de sécurité : http://www.microsoft.com/technet/securi ... 8-067.mspx
    KB Microsoft : http://support.microsoft.com/kb/958644



    Produits affectés Microsoft Windows

    • Windows 2000 Service Pack 4 (Critique)
    • Windows XP Service Pack 2 et Service Pack 3 (Critique)
    • Windows XP professional x64 RTM et Service Pack 2 (Critique)
    • Windows Server 2003 Service Pack 1 et Service Pack 2 (Critique)
    • Windows Server 2003 x64 Edition RTM et Service Pack 2 (Critique)
    • Windows Server 2003 pour Itanium Service Pack 1 et Service Pack 2 (Critique)
    • Windows Vista RTM et Service Pack 1 (Important)
    • Windows Vista x64 RTM et Service Pack 1 (Important)
    • Windows Server 2008 32 bits (Important)
    • Windows Server 2008 x64 (Important)
    • Windows Server 2008 pour Itanium (Important)

    Niveau maximum de sévérité : Critique
    Impact : Exécution de code à distance
    Détection : MBSA
    Redémarrage : oui

     

    Plus d'infos ... :

    • Pour info des malwares (PoC) utilisant la faille ont déjà été détecté :

      TrojanSpy:Win32/Gimmiv.A. : http://www.microsoft.com/security/porta ... 2fGimmiv.A
      et TrojanSpy:Win32/Gimmiv.A.dll : http://www.microsoft.com/security/porta ... mmiv.A.dll
      Ils se chargent de downloader un fichier n2.exe afin d'utiliser l'exploit puis de s'auto-supprimer.
    • Afin de compléter cette alerte majeure de sécurité, il faut savoir qu'elle touche le service Serveur (connexion RPC) de tous les postes de travail et serveur Windows 2000/XP/2003/2008/2008 Core/Vista.
    • Un petit bémol pour les postes sous XP SP2/Vista et 2008 pour lesquels le pare-feu est activé par défaut et par conséquent le service Serveur n'est pas accessible à distance (à moins qu'une exception ait été configuré pour autoriser le Partage de fichiers et d'imprimantes)
    • De plus si vous vous trouvez derrière un routeur (ou mieux un firewall) ne permettant pas l'accès au port 139/TCP et 445/TCP, cette faille ne sera pas exploitable depuis Internet (mais un vers sur le réseau arrivé via clé USB pourra aisément se propager en interne).
    • A noter également que cette faille est exploitable via une connexion anonyme pour 2000/XP/2003
      Pour Vista et Windows 2008, il faudrait expressement avoir autorisé de permettre le partage de fichiers sur une interface de type "Public" pour que cette faille soit exploitable.
    • La couche RPC n'est pas mise à jour via cet hotfix. Uniquement la partie "serveur" de la DLL netapi32.dll a été corrigée dans cette DLL.Selon Microsoft il est donc trés improbable qu'il y ait des impacts sur des applications.
    • Un des symptomes (trés fréquent mais non systématique) de l'exploitation de cette faille sur votre système d'exploitation est le plantage du service svchost attaché au service Server. Si beaucoup d'erreur concernant le crash de ce service se trouve dans votre journal des évènements ou dans celui du DrWatson alors ce peut être un symptôme d'exploitation de la vulnérabilité.


     

    • Modifié Freddy ELMALEH samedi 29 août 2009 15:53 Caract accentués
    • Déplacé SachinW mercredi 3 février 2010 20:00 Forum Consolidation (Origine :Windows Vista – Sécurité)
    vendredi 24 octobre 2008 13:17

Toutes les réponses