Depuis plusieurs jours, la Cellule-Veille de K-OTik Security a observé une augmentation significative du nombre de scans sur le port 42, l'Internet Storm Center du Sans Institute a confirmé l'existence d'une activité anormalement élevée.

au sommaire

    Windows: des failles de sécurité dans la hotte...

    Windows: des failles de sécurité dans la hotte...

    Ces attaques sont liées à la récente vulnérabilité découverte au sein du service WINS (MicrosoftMicrosoft Windows Internet Name Service) sous Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Édition Terminal Server, Windows 2000 Server et Windows Server 2003.

    Les chercheurs d'Immunity Sec. avaient publié les détails techniques de cette vulnérabilité. Plusieurs codes d'exploitation dits "privés" sont actuellement en circulation, nous avons testé « in vitroin vitro » deux versions différentes de ces exploits : l'une à provoqué le crash du service (une modification du code est nécessaire pour le rendre fonctionnel), la seconde à permis la compromission du système.

    Les graphes du SANS indiquent un nombre limité de machines responsables de cette hyperactivité, ce qui confirme la nature "non publique" des outils de compromission.

    Il est recommandé de bloquer/restreindre le port TCP/UDP 42 ou de désinstaller le service WINS s'il n'est pas utilisé. Un des correctifs publiés tout dernièrement par Microsoft, et disponible par Windows Update, comble cette faille... mais deux précautions valent mieux qu'une.

    Failles du 24 décembre

    Le groupe chinois Xforce a découvert trois nouvelles failles de sécurité dans Windows NT, 2000 et XP SP1, mais les PC qui disposent du «service packpack» 2 ne sont pas affectés par la première et la troisième brèche. Comme Microsoft apprend leur existence en même temps que le public, il n'existe pas de correctifs.

    De ces trois failles, une semble particulièrement redoutable puisque sa gravitégravité est jugée «critique» par K-Otik. Il s'agit d'une librairie graphique (API LoadImage) de Windows qui permettrait à des attaquants d'exploiter une image spécialement conçue, dans une page Web ou un courriel HTML, pour prendre le contrôle d'un PC distant vulnérable. Comme la brèche affecte une librairie de Windows, tous les logiciels qui l'utilisent sont potentiellement vulnérables.

    La seconde faille est présente dans un module d'aide de Windows. Cette brèche présente un risque élevé car des exploitations automatiques ou semi-automatiques ne sont pas exclues.

    Finalement, une troisième faille affectant un module nécessaire au traitement des curseurs animés pourrait être exploitée pour faire planter un système Windows vulnérable.

    Rappelons qu'il n'existe pas encore de solutions officielles pour ces trois failles, si ce n'est l'installation du «service pack» 2 sur les PC dotés de Windows XPWindows XP.