Un grand nombre de parasites ne cherchent plus à s'implanter complètement sur nos ordinateurs mais à exploiter des failles de sécurité (vulnérabilités) non encore corrigées par Microsoft.
BugOff est un petit utilitaire de Merijn, l'auteur de HiJackThis et de CWShredder. Il colmate quelques failles (exploits) non encore corrigées par Microsoft dans Internet Explorer et OutLook, soit en appliquant un patch non officiel soit en désactivant le composant vulnérable.
Il est habituel de dire que les utilisateurs de Mozilla, Firefox, Netscape, Opera etc. ... ne sont pas concernés et sont immunisés car n'utilisant pas ce générateur de failles en flux continu qu'est Internet Explorer. C'est faux car un certains nombre d'opérations exigent Internet Explorer et, en sus, sans avoir l'impression d'utiliser Internet Explorer, le moteur de celui-ci est utilisés (mutualisation des composants) par d'autres fonctions de Windows comme OutLook et OutLook Express.
Notes importants: Visual Basic runtime - VBrun
Il est nécessaire de disposer de l'interpréteur Basic version 6 pour exécuter ce programme (MSVBVM60.DLL - Visual Basic runtime - VBrun). La plupart des systèmes actuels l'ont mais, en cas de besoin,
vous le trouverez chez Microsoft.
A télécharger et exécuter obligatoirement sur IE6. Merijn ne parle pas des autres versions d'IE mais je ne m'y risquerais pas.
Les exploits traités varient d'une version à l'autre de BugOff en fonction des anciens exploits désormais fixés par Microsoft et des nouveaux exploits découverts mais pas encore fixés par Microsoft alors qu'un correctif ou un contournement est disponible.
mht://exploit
Faille de sécurité utilisée par les hijacker comme CWS (CoolWebSearch)
Si vous désactivez le protocole mhtml, Outlook Express ne saura plus afficher les e-mail.
Si vous êtes sur "ENABLED" cliquez sur le bouton "Disable".
ms-its:exploit
Faille de sécurité exploitée par plusieurs hijackers
Si vous désactivez le protocole ms-its, on note que le fonctionnement du système d'aide de Windows ne fonctionne pas correctement. Rappel : ce système d'aide n'est quasiment pas utilisé et, comme lorsqu'il l'est, il cherche à se connecter, notre recommandation constante est de le désactiver ou, tout au moins, de lui interdire tout accès au Net au niveau de votre firewall.
Si vous êtes sur "ENABLED" cliquez sur le bouton "Disable".
VBScript file drop
Faille de sécurité exploitée par plusieurs hijackers
Permet de désactiver le composant ActiveX ADODB.Stream, utilisé par plusieurs hijackers pour écrire un fichier exécutable dans la machine de leurs victimes. Si vous êtes à jour de vos patchs de sécurité, vous devriez déjà être sur "DISABLED". Si vous êtes sur "ENABLED" cliquez sur le bouton "Disable".
Cette vulnérabilité a été corrigée par Microsoft dans son bulletin Q870669 du 13 juillet 2004 dont voici les différents téléchargements.
Microsoft XMLHTTP object
Cet article (en anglais) ADODB.Stream object à
http://seclists.org/lists/fulldisclosure/2003/Aug/1703.html
Cette alerte de Symantec :
http://tms.symantec.com/documents/040624-Alert-CompromisedIISServerReports.pdf
Microsoft traite de ce sujet
sur cette page et propose de télécharger un outil pour désactiver ADODB.Stream object dans Internet Explorer
sur cette page.
Note:
BugOff applique des correctifs temporaires : Correctifs futurs de Microsoft. Appliquez immédiatement les correctifs de Microsoft au fur et à mesure de leur sortie. Ceux concernant les 4 vulnérabilités ci-dessus corrigeront les vulnérabilités mieux que BugOff (sans les effets secondaires).
Note:
Les auteurs de hijackers sont fertiles : dans les heures qui ont suivi la correction de la vulnérabilité ADODB.Stream, une autre méthode était employée, Shell.Application. Vous pouvez trouver des informations dans les archives de la list "Full Disclosure" à
http://lists.netsys.com/mailman/listinfo/full-disclosure
129 MO à télécharger
ou inscrivez-vous à cette liste (le full-disclosure est illégal en France).
Note - Qwik-Fix de PivX Labs :
Merijn recommande d'utiliser Qwik-Fix de PivX Labs dont elle s'est inspirée pour faire BugOff. Qwik-Fix Pro est un gros utilitaire payant utilisant le "push" et qui applique des dizaines de correctifs temporaires contre les vulnérabilités découvertes, en attendant que Microsoft publie ses correctifs. Une version gratuite est disponible à
http://www.pivx.com/qwikfix/download.html ( formulaire à remplir - 3 champs obligatoires). 2 versions à télécharger :
- Qwik-Fix for Windows NT/2000/XP/2003
ou
- Qwik-Fix for Windows 95/98/98SE/ME
Ces 2 tâches sont des downloader qui vont chercher un fichier .msi sur le site de PivX (qfinstallernt.msi)
Un assistant d'installation apparaît alors.
Une entrée est ajoutée à la base de registre :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Entrée : Qwik-Fix User Interface
Valeur : Chemin d'installation de votre Qwik-Fix\qfui.exe
Une interface graphique apparaît et une fenêtre d'invite de commande s'ouvre et se referme (Pas eu le temps de voir ce qui s'y était passé).
Les "fix" sont tous appliqués sans que l'on puisse choisir ni intervenir (on ne sait pas lesquels sont appliqués mais ils semblent très peu nombreux). Nous aurions aimé le détail des fix, leur justification, les effets de bord possible et des liens vers les bulletins d'alerte CERT par exemple.
Un update est fait systématiquement
Advanced options ne fait voir que des familles de vulnérabilités (on ne sait rien)
Le produit est en pré version (RC1).
Le produit fonctionne en flip/flop mais sur l'ensemble des fix (le seul affinage possible est celui des "familles" dans les Advanced options).
Le produit fait un update automatique toute les heures ! Je n'aime pas du tout. Allez hop ! Viré jusqu'à ce qu'on me prouve que j'ai tord.
Le BugOff de Merijn est beaucoup plus convivial.
