Alerte - Le code d'exploitation pour la faille MS04-028 est désormais public


 Risque Elevé (3/4)

Par - Ce bulletin d'alerte a pour but d'informer les administrateurs et les utilisateurs, sur la disponibilité de plusieurs codes (publics et privés) d'exploitation ciblant la vulnérabilité Windows JPEG GDI+ overflow (MS04-028). Ces exploits, publiés par différents hackers, permettent la création d'un fichier image arbitraire qui pourrait, s'il est ouvert par un utilisateur, provoquer l'exécution de commandes arbitraires [création d'un utilisateur doté de privilèges administratifs ou ouverture d'une porte dérobée].

La vulnérabilité MS04-028, rendue publique le 14 septembre dernier, affecte plusieurs produits Microsoft dont Windows XP, Windows Server 2003, Office XP, Office 2003, Internet Explorer 6 SP1, Visual basic, Project, Visio, PictureIt et Digital Image.

 

Cette vulnérabilité est liée aux applications et non pas au noyau. Les systèmes Windows XP SP2 ne sont pas vulnérables

(officiellement), mais d'autres logiciels tiers sont vulnérables (ex. Microsoft Office), ces machines devront donc être patchées manuellement. Utilisez l'outil GDIScan pour identifier les programmes vulnérables installés sur vos systèmes.

K-OTik Security recommande aux administrateurs et aux utilisateurs d'installer [sans délai] le correctif Microsoft.

Même si les éditeurs antivirus ont d'ores et déjà publié les signatures détectant les fichiers JPEG malicieux, K-OTik Security estime que l'exploitation massive de cette vulnérabilité par des groupes pirates ou par un ver/virus est imminente.

Update-1 : Un nouveau kit d'exploitation a été publié aujourd'hui. Cet outil, identifié sous le nom JPGDown.a ou JPGDownloader, génère une image malicieuse qui, une fois ouverte, provoque le téléchargement et l'installation d'un fichier malicieux, dont l'adresse a été spécifiée au départ par le pirate.
 

Update-2 : La première tentative d'exploitation publique de cette vulnérabilité a été identifiée ce week-end. Un pirate a envoyé une image malicieuse vers plusieurs groupes de discussion sur Usenet, l'ouverture du fichier sur un système vulnérable provoque (théoriquement) l'installation de plusieurs outils de prise de contrôle (Radmin, WinVNC, Serv-U, IRCd...). La bonne nouvelle est que cette image est bugguée, puisqu'elle provoque le crash d'Internet Explorer et de Windows Explorer sans pouvoir exploiter la faille. Nous surveillons actuellement les activités et les tentatives d'exploitations manuelles ou automatisées.

 Update-3 : Quelques tentatives d'exploitation mineures ont été observées par des utilisateurs de messagerie instantannée (MSN et AIM). Les attaquants incitaient les utilisateurs à visionner des images forgées, qui provoquent l'installation d'un cheval de Troie. Ces attaques sont manuelles et non pas automatiques ou virales. Nous mettrons à jour ce bulletin en cas d'incident majeur.

Signatures Snort :

alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"WEB-CLIENT
JPEG parser heap overflow attempt"; flow:from_server,established;
content:"image/jp"; nocase;
pcre:"/^Content-Type\s*\x3a\s*image\x2fjpe?g.*\xFF\xD8.{2}.*\xFF[\xE1\xE2\xED\xFE]\x00[\x00\x01]/smi";
reference:bugtraq,11173; reference:cve,CAN-2004-0200;
reference:url,www.microsoft.com/security/bulletins/200409_jpeg.mspx;
classtype:attempted-admin; sid:2705; rev:2;)

alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"WEB-CLIENT
JPEG transfer"; flow:from_server,established; content:"image/jp";
nocase; pcre:"/^Content-Type\s*\x3a\s*image\x2fjpe?g/smi";
flowbits:set,http.jpeg; flowbits:noalert;
classtype:protocol-command-decode; sid:2706; rev:1;)

alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"WEB-CLIENT
JPEG parser multipacket heap overflow";
flow:from_server,established; flowbits:isset,http.jpeg; content:"|FF|";
pcre:"/\xFF[\xE1\xE2\xED\xFE]\x00[\x00\x01]/"; reference:bugtraq,11173;
reference:cve,CAN-2004-0200;
reference:url,www.microsoft.com/security/bulletins/200409_jpeg.mspx;
classtype:attempted-admin; sid:2707; rev:1;)

 Références :
http://www.k-otik.net/bugtraq/09142004.MS04-028.php
https://k-otik.com/exploits/09232004.ms04-28-admin.sh.php
https://k-otik.com/exploits/09222004.ms04-28-cmd.c.php
https://k-otik.com/exploits/09222004.ms04-28.sh.php
https://k-otik.com/news/09232004.MS04-028Threat.php

Changelog :
22 Septembre 2004 (23h50) : Version Initiale
23 Septembre 2004 (03h35) : Références
23 Septembre 2004 (16h04) : Signatures Snort
23 Septembre 2004 (19h50) : Outil GDIScan
 24 Septembre 2004 (22h35) : Update-1 - Kit d'exploitation JPGDown.a/JPGDownloader
 28 Septembre 2004 (16h44) : Update-2 - Première exploitation publique de la vulnérabilité
 02 Octobre 2004 (20h50) : Update-3 - Exploitation via des systèmes de messagerie instantanée

Par    
 

F-VNS Security Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits