Le traditionnel Patch Tuesday est, ce mois-ci, assez riche en rustines et informations. Il couvre aussi bien les indispensables failles d'Internet Explorer, sans lesquelles la vie ne serait que ce qu'elle est, que des problèmes assez subtils affectant ISA Server.
A tout saigneur, tout honneur : deux trous IE référencés 05-025 dont un overflow sur le format d'image PNG découvert par ISS, et un problème de vérification XML.
Le bulletin 05-026 prévient d'une possible saturation de tampon provoquée par un entier trop grand dans un des champs d'un fichier HTML help (format .chm). Le problème avait été signalé par NGSS et eEye (qui fournit quelques détails techniques sur le sujet).
L'alerte 05-027 avertit d'un risque provoqué par d'éventuels paquets SMB forgés. Comme d'habitude, il est recommandé de verrouiller les ports 139 et 445, qui n'ont pas de raisons d'être ouverts côté WAN. Microsoft précise que cette attaque pourrait également affecter les protocoles ISP/SPX, sans autre forme de précision.
Le communiqué 05-028 concerne les Web Client Services. Egalement une découverte de NGSS, signée Mark Litchfield.
Faille OWA pour le bulletin 05-029. Cette interface Web dépendant du serveur Exchange est susceptible, sur certaines versions, d'être victime d'une attaque XSS. Le problème a été décrit par iDefense et semble être assez simple à exploiter. La rédaction de CSO France ne peut toutefois pas confirmer… elle utilise un Exchange 2003 Server SP1 qui n'est pas affecté par le problème.
Passons à la 05-030. Le client lecteur de news (NNTP) de Outlook Express est attaquable via la commande List définie par le protocole. Quelques détails croustillants, une nouvelle fois sur le site iDefense.
Encore une découverte iDefense, mais portant cette fois sur un outil assez peu utilisé et répandu. L'alerte est immatriculée 05-031 et concerne le Microsoft Windows Interactive Training, utilitaire de formation multimédia fourni dans certaines éditions OEM de Windows.
Très peu d'informations en revanche sur l'avertissement 05-032. Tout juste apprend-on que la découverte en revient à Michael Krax, co-inventeur d'un récent problème Firefox qui avait fait l'objet d'une publication de ZDE très discutable. Qualifié de «modéré», ce bug permettrait de masquer et leurrer des contenus Web apparemment certifiés. Une technique qui risque d'être appréciée par les amateurs de phishing, d'autant plus que les bulletins Microsoft continuent désespérément de considérer une «interaction» de la part de l'utilisateur comme un facteur limitatif et minorant. Ne craignons pas un tel genre de menace, car l'exploitation de cette faille, précise en substance le bulletin, nécessiterait que l'attaquant dispose d'un site Web contenant une page spécifique pour utiliser l'exploit. Fait rarissime semble-t-il dans l'esprit du Security Team. L'attaquant, poursuit le bulletin, n'obtiendrait que les droits de l'usager ayant ouvert la session. Bien… autrement dit Administrator dans 99% des cas si l'on considère les machines de particuliers, artisans, petites structures… et parfois même multinationales. Enfin, achève le communiqué, la configuration de 2003 Server «par défaut» place le client Web en zone restreinte. La belle affaire. 2003 Server n'est pas franchement un noyau très répandu, du moins comparativement à 2000 et XP, et l'on se demande ce qu'un administrateur viendrait faire sur un serveur de production pour «surfer sur le oueb». Le rédacteur de l'alerte devait probablement avoir un quota de «facteurs limitatifs» à atteindre…
Dites 05-033, dit le docteur Gaël Delalleau, d'iDefense. Il s'agit d'une faille affectant le client Telnet de Microsoft et de plusieurs autres éditeurs, dont le MIT Kerberos, Sun, Suse pour sa distrib Linux…
Le dernier avertissement ( 05-034 ) porte sur un triple problème affectant le firewall ISA Server : deux failles et une régression provoquée par un correctif antérieur. Les deux failles consistent, d'une part, en une possible attaque via une connexion Netbios forcée sur l'ISA Server et, d'autre part, une attaque en «smuggling». Le smuggling consiste à expédier des séries de requêtes HTTP «forgées» en jouant sur les divergences d'interprétation HTTP des équipements concernés ; par exemple le proxy ou le firewall d'un côté, et le serveur Web de l'autre. Certaines requêtes seront interprétées d'une certaine manière par le firewall et d'une toute autre façon par le serveur Web. Le premier danger d'une attaque en smuggling est l'empoisonnement de la cache Web. Un papier assez complet est disponible sur le site de l'inventeur de la première faille. Article dense, prévoir au moins deux bonnes heures pour admirer le mécanisme en action. Attention, le smuggling ne concerne pas exclusivement les serveurs IIS et les firewalls ISA. Le mémoire de Watchfire mentionne également Apache et les passerelles de sécurité Cisco, en précisant que ce ne sont là que des exemples.