Connexion
Abonnez-vous

Vista, Office, Lync : une faille activement exploitée dans de nombreux pays

Puisqu'on vous dit de faire attention à vos pièces jointes

Vista, Office, Lync : une faille activement exploitée dans de nombreux pays

Le 06 novembre 2013 à 10h03

Microsoft diffuse actuellement un bulletin de sécurité pour avertir de l’exploitation active d’une faille. Plusieurs produits sont concernés, et même s’il ne s’agit pas forcément des plus récents, beaucoup sont encore largement utilisés.

vista

Windows Vista

Une faille dans le codec TIFF

Microsoft a publié un bulletin de sécurité pour prévenir les utilisateurs de certains produits que des attaques actives sont en cours contre Windows Vista, Windows Server 2008, Office 2003 à 2010, et la totalité des versions supportées de Lync. Évidemment, Vista n’est plus guère utilisé car il a largement été remplacé par Windows 7, mais Windows Server 2008 est encore présent et tout le monde ne possède pas la dernière révision de la suite bureautique.

 

La faille réside dans le module comprenant le codec pour les images TIFF. C’est ce dernier que l’on retrouve dans tous les produits cités. La faille est exploitée le plus souvent à travers l’envoi d’un email contenant une pièce jointe. Il s’agit d’un document Word spécialement conçu pour tirer parti de la brèche, grâce à une image TIFF embarquée. Si la faille se retrouve exploitée avec succès, l’attaquant peut obtenir les mêmes droits que l’utilisateur actif dans la session.

Une faille activement exploitée dans plusieurs régions du monde

Dans son bulletin, publié hier soir, Microsoft annonce être informé d’attaques en cours, en particulier dans deux régions : le Moyen-Orient et l’Asie du Sud. Les utilisateurs sont donc particulièrement appelés à faire attention quand ils reçoivent un courrier contenant un document Word.

 

Microsoft aborde essentiellement deux méthodes pour empêcher l’exploitation de la faille. D’une part, une solution de type « Fix It » qui s’installe rapidement. L’effet sera simple et radical : le codec TIFF sera tout bonnement désactivé et ne pourra donc plus être exploité. La contrepartie est que si vous disposez de documents légitimes contenant ce type d’image, ils ne seront plus lus correctement.

Désactivation du codec ou atténuation des risques

L’autre solution est d’installer le kit EMET (Enhanced Mitigation Experience Toolkit). Il ne s’agit pas à proprement parler d’une solution directe pour la faille dont il est question. Le kit regroupe en fait une série de mesures qui vont aider l’utilisateur à réduire les risques, soit en atténuant les « prises » des attaques, soit en réduisant les effets de l’exploitation. Si Microsoft préconise également cette solution, c’est qu’elle possède un avantage vis-à-vis du patch Fix It : le kit EMET n’affecte normalement pas les fonctionnalités des applications.

 

Microsoft indique en outre surveiller activement la manière dont les attaques évoluent. Un véritable correctif est également en préparation. Il y a d’ailleurs des chances qu’il puisse être diffusé hors cycle habituel (deuxième mardi de chaque mois) puisque des attaques actives sont en cours.

 

On notera enfin qu'elles vont avoir tendance à toucher davantage les entreprises que les particuliers.  Lync est en effet une solution professionnelle, tandis que les ordinateurs sont vendus sous Windows 7 et 8 depuis plusieurs années maintenant. Le plus grand vecteur d’attaque serait de faire la suite Office, dont les versions 2003 à 2010 sont très courantes. Prudence donc si vous êtes concerné, notamment si vous êtes utilisateur d’Outlook. La règle élémentaire de prudence sur les pièces jointes est donc plus que jamais d’actualité.

Commentaires (26)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



Si la faille se retrouve exploitée avec succès, l’attaquant peut obtenir les mêmes droits que l’utilisateur actif dans la session.

Donc si l’uac est activée, peu de risques ?

votre avatar



Évidemment, Vista n’est plus guère utilisé car il a largement été remplacé par Windows 7, mais Windows Server 2008 est encore présent et tout le monde ne possède pas la dernière révision de la suite bureautique.





Mais pourquoi des gens utiliseraient Windows Server comme station de bureautique ??! <img data-src=" />

votre avatar







127.0.0.1 a écrit :



Mais pourquoi des gens utiliseraient Windows Server comme station de bureautique ??! <img data-src=" />







pour faire de la virtualisation par exemple


votre avatar







Spidard a écrit :



Donc si l’uac est activée, peu de risques ?





Peu de risques de pourrir ton système, mais il y a bien risque de vol de données, ce qui reste le plus grave en entreprise.


votre avatar







Spidard a écrit :



Donc si l’uac est activée, peu de risques ?





Le système de compte ne protège pas contre les virus. Microsoft a toujours dis que n’était pas une barrière de sécurité. Ca fait un moment que les virus ont évolué pour utiliser uniquement les droits utilisateurs.

La seule technologie récente qui protège réellement comme barrière c’est la sandbox dans Windows 8.


votre avatar

Bon, cette faille semble massivement utiliser un problème d’interfaçage entre la chaise et le clavier, donc je vais attendre le correctif “normal” pour chez moi.



Et au taf, vu que les postes ne sont pas maintenus à jour, c’est une autre faille qui nous aura avant <img data-src=" />

votre avatar







charon.G a écrit :



Le système de compte ne protège pas contre les virus. Microsoft a toujours dis que n’était pas une barrière de sécurité. Ca fait un moment que les virus ont évolué pour utiliser uniquement les droits utilisateurs.

La seule technologie récente qui protège réellement comme barrière c’est la sandbox dans Windows 8.









La sandbox d’un AV aussi?


votre avatar







John Shaft a écrit :



Bon, cette faille semble massivement utiliser un problème d’interfaçage entre la chaise et le clavier, donc je vais attendre le correctif “normal” pour chez moi.



Et au taf, vu que les postes ne sont pas maintenus à jour, c’est une autre faille qui nous aura avant <img data-src=" />





Ouvrir un document word en pièce jointe c’est un comportement stupide ?


votre avatar







wagaf a écrit :



Ouvrir un document word en pièce jointe c’est un comportement stupide ?







Ça dépend du corps du mail et de son expéditeur. <img data-src=" />


votre avatar







John Shaft a écrit :



Ça dépend du corps du mail et de son expéditeur. <img data-src=" />







Ce qui est problématique en entreprise, vu le peu d’utilisateurs assez méfiants là-dessus.


votre avatar







Chloroplaste a écrit :



Ce qui est problématique en entreprise, vu le peu d’utilisateurs assez méfiants là-dessus.







Yup. Mais comme je le disais, dans mon cas, aucun poste n’est à jour chez nous (faute à 0 moyens chez les SI et un parc de 300 machines au pifomètre) donc c’est une faille plus grosse qui nous aura <img data-src=" />



Mais je me plaçais plus dans le cadre perso <img data-src=" />


votre avatar







coket a écrit :



La sandbox d’un AV aussi?





Par exemple si tu lances une application dans la sandbox d’avast . Normalement il bloque l’accès au système et certaines ressources systèmes. Après je ne connais pas l’implémentation de cette fonctionnalité en détail. A moins d’exploiter une faille d’escalade de privilège dans l’antivirus ,je ne pense pas que tu puisses infecter ton pc si tu l’utilises.



Pour la sandbox de Windows 8,actuellement elle peut être contournée car on peut toujours lancer des applications Win32 qui ont tous les droits. Par contre ce n’est pas le cas de Windows RT. Julien Manici en parlait dans un précédent commentaire c’est la version de Windows la plus sécurisée du marché. Pareil pour Windows phone 8 qui est le seul os mobile à ne peut avoir été rooté. Pour faire casser la sandbox de Windows RT et WP8 (qui bloque en lecture et écriture) il faudrait exploiter une faille d’escalade de privilège dans le système et aussi casser la protection de secure boot qui protège le boot des fichiers systèmes en chaîne jusqu’aux applications WinRT.


votre avatar







charon.G a écrit :



Par exemple si tu lances une application dans la sandbox d’avast . Normalement il bloque l’accès au système et certaines ressources systèmes. Après je ne connais pas l’implémentation de cette fonctionnalité en détail. A moins d’exploiter une faille d’escalade de privilège dans l’antivirus ,je ne pense pas que tu puisses infecter ton pc si tu l’utilises.









Merci pour tes lumières. <img data-src=" />



Pour mon smartphone, je ne me fais pas de soucis ;)


votre avatar

Winphone le seul non rooté ?? Ben essaye de rooter un z30 ou un z10….

votre avatar







iosys a écrit :



Winphone le seul non rooté ?? Ben essaye de rooter un z30 ou un z10….







Ouai mais bon tu nous parles d’une espèce en voie de disparition la. <img data-src=" />

Mais c’est vrai les Blackberry ne sont pas rootable il me semble.

Mais y-a-t-il une utilité à rooter son BlackBerry vu le nombre si faible d’applis disponibles?


votre avatar

Tien, c’est marrant ca. Une faille dans la lecture des TIFF?



Ce n’est pas en utilisant un TIFF spécialement formé que l’on pouvait executer son propre code et rooter/hacker sa machine?



http://www.macnn.com/articles/07/10/17/iphone.tiff.exploit.detail/



Pinaise. TIFF, le nouveau Flash? <img data-src=" />

votre avatar

Pour les sceptiques des fix-it Microsoft, le workaround est bien détaillé:technet.microsoft.com Microsoft

votre avatar

A noter qu’Office 2010 n’est pas affecté par cette faille s’il tourne sous win7 ou win8.



http://blogs.technet.com/b/srd/archive/2013/11/05/cve-2013-3906-a-graphics-vulne…

votre avatar







RaoulC a écrit :



Tien, c’est marrant ca. Une faille dans la lecture des TIFF?



Ce n’est pas en utilisant un TIFF spécialement formé que l’on pouvait executer son propre code et rooter/hacker sa machine?



http://www.macnn.com/articles/07/10/17/iphone.tiff.exploit.detail/



Pinaise. TIFF, le nouveau Flash? <img data-src=" />



Faille datant de 2007, faut se calmer <img data-src=" />


votre avatar







127.0.0.1 a écrit :



Mais pourquoi des gens utiliseraient Windows Server comme station de bureautique ??! <img data-src=" />









Tout simplement toutes les sociétés qui utilisent TSE ou CITRIX.


votre avatar







PsYKrO a écrit :



Tout simplement toutes les sociétés qui utilisent TSE ou CITRIX.







Je me réponds à moi même : avec le lien du premier commentaire.. les Windows 2008 R2 ne sont pas affectés… reste à savoir si le fait d’avoir un office 2010 sur un windows 2008 R2 la faille est exploitable.


votre avatar



Je me réponds à moi même : avec le lien du premier commentaire.. les Windows 2008 R2 ne sont pas affectés… reste à savoir si le fait d’avoir un office 2010 sur un windows 2008 R2 la faille est exploitable





d’apres ce post:

http://blogs.technet.com/b/srd/archive/2013/11/05/cve-2013-3906-a-graphics-vulne…



office 2010 n’est affecté que sous xp/server 2003.

votre avatar







CUlater a écrit :



Faille datant de 2007, faut se calmer <img data-src=" />







Aurait-tu loupé la présence du smiley dans mon message par hazard?

Si on doit attendre trolldi pour lancer des <img data-src=" /> pourris….


votre avatar







RaoulC a écrit :



Aurait-tu loupé la présence du smiley dans mon message par hazard?

Si on doit attendre trolldi pour lancer des <img data-src=" /> pourris….



Non, et si pour les trolls.


votre avatar







John Shaft a écrit :



Ça dépend du corps du mail et de son expéditeur. <img data-src=" />





C’est pas vraiment une sécurité vu la sécurité de SMTP <img data-src=" />


votre avatar







psn00ps a écrit :



C’est pas vraiment une sécurité vu la sécurité de SMTP <img data-src=" />







Ah ça vu les rustines qu’on lui a collé à celui-là (SPF, DKIM et cie) <img data-src=" />


Vista, Office, Lync : une faille activement exploitée dans de nombreux pays

  • Une faille dans le codec TIFF

  • Une faille activement exploitée dans plusieurs régions du monde

  • Désactivation du codec ou atténuation des risques

Fermer