Test de la faille Jpeg MS04-028

Test de la faille Jpeg MS04-028

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows

Dossier "Virus"

S'équiper
Virus
Typologie des attaques virales
Typologie des charges actives
Typologie des auteurs de virus
A savoir - Quelques risques
Antivirus - Choisir un antivirus
Tests Antivirus et son installation
Les antivirus généraux
Les antivirus généraux
Régler les antivirus au maximum
Les antivirus gratuits spécifiques
Les antivirus gratuits en ligne
Les antivirus en ligne
Analyse d'un fichier
Analyse du PC
Envoyer échantillon
Sandbox
Rescue CDs - CD de secours
Tableaux comparatifs
Ressources
Pour une Informatique sécurisée
Anti Virus Asia Researchers
Techniques McAfee Avert Labs
IM et Pirates


http://www.sarc.com/avcenter/venc/data/backdoor.roxe.html
http://www.giac.org/certified_professionals/practicals/gcih/0674.php
patch ms04-028

Mots clés :
virus, faille, jpeg, ms04-028
 
 
Vers mi-septembre 2004, la découverte d'une faille est annoncée dans tous les produits Microsoft ouvrant des images au format JPEG (Microsoft Office, Internet Explorer, Outlook...). Une saturation de la mémoire tampon lors du traitement JPEG (GDI+) peut permettre l'exécution de code à distance. 15 jours plus tard, les premières attaques de cette nature sont lancées (images érotiques ou pornographiques sur des sites X crapuleux, images sur les réseaux de messagerie instantanée tels MSN Messenger ou AIM...

L'image sert de cheval de Troie pour tenter d'installer un backdoor en vue de pouvoir pénétrer, en un second temps, l'ordinateur infecté pour toutes sortes d'activités illicites : installer un RAT (outil de prise de contrôle à distance des ordinateurs) ou transformer le PC en zombie pour en faire un serveur de spam etc. ...

L'image ne véhicule pas de parasite. C'est le traitement des formats de fichier image JPEG (le composant GDI+) qui comporte une vulnérabilité de saturation de la mémoire tampon susceptible de permettre l’exécution de code distant sur un système affecté. Une image au format .jpeg n'est qu'un fichier de données (ce n'est pas un exécutable) qui vont être traitées par le composant GDI+ (GDI+ (Graphical Device Interface +) est une extension de GDI - Une librairie de DLL contenant des fonctions API de tracés de dessins : tracé de textes, de lignes, de formes (rectangles, cercles, ellipses...), de bitmap, d'éléments vectoriels 2D, de transformations géométriques, de couleurs transparentes etc. ...

Il faut que l'utilisateur soit connecté avec des privilèges d'administrateur, ce qui est une faute, pour que l'attaquant parvienne à exploiter cette vulnérabilité qui permet de prendre le contrôle total du système affecté, notamment installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes dotés de tous les privilèges.

Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système courent toujours moins de risques que ceux qui possèdent des privilèges d’administration. Voir : Migrer vers un compte limité.

La faille se trouve dans le composant GDI+ (Gdiplus.dll).

Communiquez par FeedBack ou sur nos forums les résultats de vos tests qui seront reproduits dans ce tableau.

       
Tests On Demand
Tests On Access
Utilitaire testé Date du test Version du noyau Version des bases de signatures jpeg zippé jpeg Sur extraction du parasite dézippé Sur exécution depuis Unzip Sur exécution
Résultats attendus      
Vu
Vu
Vu
Vu
Vu
       
 
 
 
 
 
AVG      
 
 
 
 
 
Antivir      
 
 
 
 
 
Avast                
Avg Antivirus      
 
 
 
 
 
Avk                
BitDefender      
 
 
 
 
 
COD      
 
 
 
 
 
ClamAV                
Dr.Web                
F-Prot                
Fortinet                
Ikarus                
Kaspersky      
 
 
 
 
 
MKS-Vir                
McAfee VirusScan                
NOD                
Norman Virus Control                
Norton - Symantec  12.03.05  9.05.15  12.03.05
 
 
 
 
 
Panda      
 
 
 
 
 
Sophos      
 
 
 
 
 
Sybari                
Trend PC-Cillin      
 
 
 
 
 
eTrust EZ Antivirus                

Le test de la faille jpeg :
Peu importe que le patch ms04-028 ait été appliqué ou non - mais vous avez tout intérêt à l'appliquer ! Télécharger le fichier de test ms04-028demo test de bulzano2.zip ( Attention tout de même à ce test. Le parasite est réel et si vous testez sur votre machine il faudra la décontaminer (mais, bien entendu, vous êtes à jour de vos patch sur Windows Update ) ! Non ? On ne vous l'a pas assez répété ?
http://www.sarc.com/avcenter/venc/data/backdoor.roxe.html

Nota : un autre fichier de test
ms04-028demo test de diamondcs.zip - développé par DiamondCS (auteur de l'anti-trojans TDS-3, de l'outil de contrôle d'intégrité ProcessGuard...)

Il faut faire les tests sur ces images avec les scanners On Demand et On Access - au total, il faut faire les tests suivants :
  1. Test "On Demand" et jpeg zippé
    Faites faire une analyse du répertoire (ou du seul fichier si vous avez accès à l'analyse « On Demand » au niveau d'un seul fichier) contenant l'archive zippée contenant ces images.
    L'utilitaire DOIT vous alerter

  2. Test "On Demand" et jpeg
    Décompresser les images dans un répertoire et faites faire une analyse du répertoire contenant les images dézippées (ou des deux seules images du test si vous avez accès à l'analyse « On Demand » au niveau fichier).
    L'utilitaire DOIT vous alerter

  3. Test "On Access" et archive zippé parasitée
    Double-clic sur l'archive zippée. L'antivirus ne bronche pas ? Ce n'est pas grave. Votre utilitaire de désarchivage (UnZip... vient simplement d'ouvrir l'archive mais pas encore de créer des objets décompressés - rien n'est exécutable à ce stade).

  4. Test "On Acces" et extraction d'archive
    Dézipper et extraire l'image dans un répertoire. L'antivirus ne bronche pas ? Il DOIT vous alerter même si ce n'est pas trop grave puisqu'il ne lance pas l'exécution. Il y a, tout de même, création d'un fichier parasité, donc le module « On Access » doit réagir.

  5. Test "On Access" dans l'archive zippée
    Tout en restant dans Unzip, double-clic sur une des images pour tenter de l'ouvrir depuis l'archive. L'antivirus DOIT impérativement hurler.

  6. Test "On Access" et jpeg
    Double-clic sur l'image dézippée (extraite dans un répertoire). L'antivirus DOIT impérativement hurler.

Par exemple : test avec Norton Antivirus
  1. Test On demand
    Demande d'analyse du fichier zippé tel que téléchargé
    Backdoor.Roxe détecté

  2. Désactivation de l'antivirus
    Extraction de l'image vers un fichier sur disque
    Réactivation de l'antivirus
    Demande d'analyse du fichier image
    Backdoor.Roxe détecté

  3. Test On Access
    Unzip (pas encore d'extraction mais ouverture d'un fichier archive contenant un parasite (non exécutable en l'état))
    Rien vu - normal.

  4. Double clic sur l'image dans Unzip
    Une tentative de décompression vers un fichier temporaire a lieu
    Immédiatement stoppée et détruite par Norton AV qui détecte Backdoor.Roxe

  5. Extraction
    Immédiatement stoppée et détruite par Norton AV qui détecte Backdoor.Roxe

  6. Désactivation de l'antivirus
    Extraction de l'image vers un fichier sur disque
    Réactivation de l'antivirus
    Un seul clic sur l'image (même pas le temps de tenter le double clic)
    Immédiatement stoppé et destruction du fichier par Norton AV qui détecte Backdoor.Roxe


Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

13.03.05
 
   
Rédigé en écoutant :
Music