Test de la faille Jpeg MS04-028
Test de la faille Jpeg MS04-028
Vers mi-septembre 2004, la découverte d'une faille est annoncée dans tous les produits Microsoft ouvrant des images au format JPEG (Microsoft Office, Internet Explorer, Outlook...). Une saturation de la mémoire tampon lors du traitement JPEG (GDI+) peut permettre l'exécution de code à distance. 15 jours plus tard, les premières attaques de cette nature sont lancées (images érotiques ou pornographiques sur des sites X crapuleux, images sur les réseaux de messagerie instantanée tels MSN Messenger ou AIM...
L'image sert de cheval de Troie pour tenter d'installer un backdoor en vue de pouvoir pénétrer, en un second temps, l'ordinateur infecté pour toutes sortes d'activités illicites : installer un RAT (outil de prise de contrôle à distance des ordinateurs) ou transformer le PC en zombie pour en faire un serveur de spam etc. ...
L'image ne véhicule pas de parasite. C'est le traitement des formats de fichier image JPEG (le composant GDI+) qui comporte une vulnérabilité de saturation de la mémoire tampon susceptible de permettre l’exécution de code distant sur un système affecté. Une image au format .jpeg n'est qu'un fichier de données (ce n'est pas un exécutable) qui vont être traitées par le composant GDI+ (GDI+ (Graphical Device Interface +) est une extension de GDI - Une librairie de DLL contenant des fonctions API de tracés de dessins : tracé de textes, de lignes, de formes (rectangles, cercles, ellipses...), de bitmap, d'éléments vectoriels 2D, de transformations géométriques, de couleurs transparentes etc. ...
Il faut que l'utilisateur soit connecté avec des privilèges d'administrateur, ce qui est une faute, pour que l'attaquant parvienne à exploiter cette vulnérabilité qui permet de prendre le contrôle total du système affecté, notamment installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes dotés de tous les privilèges.
Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système courent toujours moins de risques que ceux qui possèdent des privilèges d’administration. Voir : Migrer vers un compte limité.
La faille se trouve dans le composant GDI+ (Gdiplus.dll).
Communiquez par FeedBack ou sur nos forums les résultats de vos tests qui seront reproduits dans ce tableau.
L'image sert de cheval de Troie pour tenter d'installer un backdoor en vue de pouvoir pénétrer, en un second temps, l'ordinateur infecté pour toutes sortes d'activités illicites : installer un RAT (outil de prise de contrôle à distance des ordinateurs) ou transformer le PC en zombie pour en faire un serveur de spam etc. ...
L'image ne véhicule pas de parasite. C'est le traitement des formats de fichier image JPEG (le composant GDI+) qui comporte une vulnérabilité de saturation de la mémoire tampon susceptible de permettre l’exécution de code distant sur un système affecté. Une image au format .jpeg n'est qu'un fichier de données (ce n'est pas un exécutable) qui vont être traitées par le composant GDI+ (GDI+ (Graphical Device Interface +) est une extension de GDI - Une librairie de DLL contenant des fonctions API de tracés de dessins : tracé de textes, de lignes, de formes (rectangles, cercles, ellipses...), de bitmap, d'éléments vectoriels 2D, de transformations géométriques, de couleurs transparentes etc. ...
Il faut que l'utilisateur soit connecté avec des privilèges d'administrateur, ce qui est une faute, pour que l'attaquant parvienne à exploiter cette vulnérabilité qui permet de prendre le contrôle total du système affecté, notamment installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes dotés de tous les privilèges.
Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système courent toujours moins de risques que ceux qui possèdent des privilèges d’administration. Voir : Migrer vers un compte limité.
La faille se trouve dans le composant GDI+ (Gdiplus.dll).
- Elle a été corrigée par le bulletin MS04-028
http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx - en anglais
http://www.microsoft.com/france/technet/securite/ms04-028.mspx - en français
- Un outil de détection GDI a été mis en ligne le 14 septembre 2004 qui permet de détecter s'il se trouve sur votre machine l'un des composants auxquels s'applique le bulletin MS04-028
http://support.microsoft.com/default.aspx?scid=kb;EN-US;873374 - en anglais
http://support.microsoft.com/default.aspx?scid=kb;fr;873374 - en français
- DiamondCS à développé un outil qui éradique l'exploitation de la faille dans les images jpeg et restaure les images qui deviennent visibles.
http://www.diamondcs.com.au/jpegscan/
- Ce document, au format pdf, explique, en anglais, comment exploiter cette faille
http://www.giac.org/certified_professionals/practicals/gcih/0674.php
Communiquez par FeedBack ou sur nos forums les résultats de vos tests qui seront reproduits dans ce tableau.
|
Tests On Demand
|
Tests On Access
|
|||||||
| Utilitaire testé | Date du test | Version du noyau | Version des bases de signatures | jpeg zippé | jpeg | Sur extraction du parasite dézippé | Sur exécution depuis Unzip | Sur exécution |
| Résultats attendus |
Vu
|
Vu
|
Vu
|
Vu
|
Vu
|
|||
|
|
|
|
|
|
||||
| AVG |
|
|
|
|
|
|||
| Antivir |
|
|
|
|
|
|||
| Avast | ||||||||
| Avg Antivirus |
|
|
|
|
|
|||
| Avk | ||||||||
| BitDefender |
|
|
|
|
|
|||
| COD |
|
|
|
|
|
|||
| ClamAV | ||||||||
| Dr.Web | ||||||||
| F-Prot | ||||||||
| Fortinet | ||||||||
| Ikarus | ||||||||
| Kaspersky |
|
|
|
|
|
|||
| MKS-Vir | ||||||||
| McAfee VirusScan | ||||||||
| NOD | ||||||||
| Norman Virus Control | ||||||||
| Norton - Symantec | 12.03.05 | 9.05.15 | 12.03.05 |
 |
|
|
|
|
| Panda |
|
|
|
|
|
|||
| Sophos |
|
|
|
|
|
|||
| Sybari | ||||||||
| Trend PC-Cillin |
|
|
|
|
|
|||
| eTrust EZ Antivirus | ||||||||
Le test de la faille jpeg :
Peu importe que le patch ms04-028 ait été appliqué ou non - mais vous avez tout intérêt à l'appliquer ! Télécharger le fichier de test ms04-028demo test de bulzano2.zip ( Attention tout de même à ce test. Le parasite est réel et si vous testez sur votre machine il faudra la décontaminer (mais, bien entendu, vous êtes à jour de vos patch sur Windows Update ) ! Non ? On ne vous l'a pas assez répété ?
http://www.sarc.com/avcenter/venc/data/backdoor.roxe.html
Nota : un autre fichier de test
ms04-028demo test de diamondcs.zip - développé par DiamondCS (auteur de l'anti-trojans TDS-3, de l'outil de contrôle d'intégrité ProcessGuard...)
Il faut faire les tests sur ces images avec les scanners On Demand et On Access - au total, il faut faire les tests suivants :
Peu importe que le patch ms04-028 ait été appliqué ou non - mais vous avez tout intérêt à l'appliquer ! Télécharger le fichier de test ms04-028demo test de bulzano2.zip ( Attention tout de même à ce test. Le parasite est réel et si vous testez sur votre machine il faudra la décontaminer (mais, bien entendu, vous êtes à jour de vos patch sur Windows Update ) ! Non ? On ne vous l'a pas assez répété ?
http://www.sarc.com/avcenter/venc/data/backdoor.roxe.html
Nota : un autre fichier de test
ms04-028demo test de diamondcs.zip - développé par DiamondCS (auteur de l'anti-trojans TDS-3, de l'outil de contrôle d'intégrité ProcessGuard...)
Il faut faire les tests sur ces images avec les scanners On Demand et On Access - au total, il faut faire les tests suivants :
- Test "On Demand" et jpeg zippé
Faites faire une analyse du répertoire (ou du seul fichier si vous avez accès à l'analyse « On Demand » au niveau d'un seul fichier) contenant l'archive zippée contenant ces images.
L'utilitaire DOIT vous alerter
- Test "On Demand" et jpeg
Décompresser les images dans un répertoire et faites faire une analyse du répertoire contenant les images dézippées (ou des deux seules images du test si vous avez accès à l'analyse « On Demand » au niveau fichier).
L'utilitaire DOIT vous alerter
- Test "On Access" et archive zippé parasitée
Double-clic sur l'archive zippée. L'antivirus ne bronche pas ? Ce n'est pas grave. Votre utilitaire de désarchivage (UnZip... vient simplement d'ouvrir l'archive mais pas encore de créer des objets décompressés - rien n'est exécutable à ce stade).
- Test "On Acces" et extraction d'archive
Dézipper et extraire l'image dans un répertoire. L'antivirus ne bronche pas ? Il DOIT vous alerter même si ce n'est pas trop grave puisqu'il ne lance pas l'exécution. Il y a, tout de même, création d'un fichier parasité, donc le module « On Access » doit réagir.
- Test "On Access" dans l'archive zippée
Tout en restant dans Unzip, double-clic sur une des images pour tenter de l'ouvrir depuis l'archive. L'antivirus DOIT impérativement hurler.
- Test "On Access" et jpeg
Double-clic sur l'image dézippée (extraite dans un répertoire). L'antivirus DOIT impérativement hurler.
- Test On demand
Demande d'analyse du fichier zippé tel que téléchargé
Backdoor.Roxe détecté
- Désactivation de l'antivirus
Extraction de l'image vers un fichier sur disque
Réactivation de l'antivirus
Demande d'analyse du fichier image
Backdoor.Roxe détecté
- Test On Access
Unzip (pas encore d'extraction mais ouverture d'un fichier archive contenant un parasite (non exécutable en l'état))
Rien vu - normal.
- Double clic sur l'image dans Unzip
Une tentative de décompression vers un fichier temporaire a lieu
Immédiatement stoppée et détruite par Norton AV qui détecte Backdoor.Roxe
- Extraction
Immédiatement stoppée et détruite par Norton AV qui détecte Backdoor.Roxe
- Désactivation de l'antivirus
Extraction de l'image vers un fichier sur disque
Réactivation de l'antivirus
Un seul clic sur l'image (même pas le temps de tenter le double clic)
Immédiatement stoppé et destruction du fichier par Norton AV qui détecte Backdoor.Roxe
| Historique des révisions de ce document : |
|
13.03.05
|
Rédigé en écoutant :
Music
Music