Windows : Le prochain pack de sécurité corrigera la faille du SMB2 qui provoque un "black screen of death"

**Gordon Fowler** · 09/09/2009, 10h14

Mise à jour du 12/10/09

Windows : Le prochain pack de sécurité corrigera la faille du SMB2
Celle du FTP dans IIS et 32 autres failles sont également concernées

Le prochain patch pour Windows contiendra 13 bulletins qui, eux-mêmes, corrigeront 34 failles de sécurité.

La mise à jour sera délivrée par Microsoft le 13 Octobre. Ce "Patch Tuesday" corrigera les deux failles critiques qui ont tant fait parler d'elles lors des deux derniers mois. La faille dans le SMB 2 (voir articles ci-dessous) et celle du FTP dans IIS devraient donc dès demain faire partie du passé.

Une autre faille, critique, concernant Internet Explorer, sera également colmatée (après un redémarrage du système).

Le "Patch Tuesday" survient le deuxième mardi de chaque mois, jour traditionnellement choisi par Microsoft pour distribuer ses mises à jour de sécurité à ses clients.

Source : Le Microsoft Security Bulletin Advance Notification for October 2009

MAJ de Gordon Fowler.

Mise à jour du 30/09/09.

Windows : Nouvelle attaque exploitant la vulnérabilité dans le SMB2

Après avoir démenti que la faille existait, les ingénieurs de Microsoft se sont attelés à la tache pour patcher le trou de sécurité découvert dans Server Message Block version 2 (SMB2) – voir articles précédents ci-dessous.

Du coté de Microsoft, on indique que le correctif promis le 8 Septembre dernier est en cours de réalisation mais que les tests ne sont pas encore totalement finalisés.

Les équipes de Redmond ont toutefois intérêt à faire vite. Les exploits semblent se succéder de plus en plus rapidement.

Cette fois-ci, un hacker a réussi cette semaine à prendre le contrôle total d'un PC en utilisant Metasploit Framework, un outil très populaire parmi la communauté des hackers, pour exploiter la faille de SMB2.

Les développeurs de Redmond gardent pour l'instant le silence sur la date de sortie du patch.

Ils rappellent néanmoins que la vulnérabilité dans SMB2 ne touche que quelques versions de Windows dont Vista, Server 2008 et la RC de Windows 7.

MAJ de Gordon Fowler.

Mise à jour du 10/09/09

Windows : Microsoft reconnait l'existence d'une vulnérabilité "possible" dans le SMB 2

Microsoft vient de reconnaitre officiellement l'existence d'une vulnérabilité "possible" dans Vista, Windows Server 2008 R1 et la RC de Windows 7 concernant le SMB 2 (cf. news précédente ci-dessous).

What might an attacker use this vulnerability to do?
An attacker who successfully exploited this vulnerability could take complete control of an affected system. Most attempts to exploit this vulnerability will cause an affected system to stop responding and restart.

[...]

Is the Windows 7 Release Candidate affected by this vulnerability?
Yes. This vulnerability was reported after the release of Windows 7 Release Candidate. Customers running this platform are encouraged to review this advisory and follow the steps listed here.

Bien que simplement qualifiée de "possible", la faille fait l'objet de l'élaboration d'un patch.

Dans son attente, Microsoft publie deux recommandations : désactiver le SMB 2 en modifiant le registre, et bloquer les ports 139 et 445 dans le pare-feu.

Dans sa version finale actuellement en cours de commerciale (la RCTM), Windows 7 ne serait pas concernée.
Tout comme seraient également épargnés Windows 2000, XP (qui utilise SMB 1) et Windows Server 2008 R2 (cf. article précédent).

Les équipes de Microsoft chargées de la sécurité sont également en train de vérifier les affirmations d'autres experts qui - disent-ils - aurait réussi à utiliser cette faille non pas pour faire planter la machine mais pour en prendre le contrôle.

Les testeurs de la version RC tout comme les utilisateurs de Vista sont donc officiellement invités à prendre leurs précautions, tout comme ceux de Windows Serveur 2008 R1.

Aucune date n'est encore arrêtée pour la sortie du patch.

Source : L'annonce officielle de Microsoft.

Une faille dans Windows 7 ressuscite les joies de "l'écran bleu"

Ceux qui ont connu les années 90 et le fameux Windows 95 s'en souviennent certainement.

Le "blue screen of death" - alias "l'écran bleu de la mort" - marquait un plantage soudain de la machine dont la seule issue possible était un radical reboot par reset (en gros on éteint tout et on rallume).

A l'époque, une simple attaque par fragmentation (dite "teardrop attack", qui consistait à insérer des informations erronées dans des paquets fragmentés pour créer des "trous" au moment de leur ré-assemblage... et donc un plantage) permettait d'utiliser les faiblesses de l'OS pour provoquer ce fameux écran bleu.

On croyait cette époque définitivement révolue.
Ce n'est semble-t-il pas le cas : Windows 7 aurait ressusciter "l'écran de la mort".

Les membres de l'Internet Storm Center viennent en effet de révéler qu'il existait des failles dans les protocoles SMB2 (qui permet le partage des fichiers et des imprimantes sur des réseaux locaux) et TCP/IP liées aux drivers du prochain OS de Microsoft : Samba serait donc propice aux attaques.

Les failles mises à jour pourraient, d'après Guy Bruneau, permettre à un individu mal intentionné de provoquer le plantage de la machine.
Et donc l'apparition de ce type d'écran :

La faille se retrouverait également dans Windows Vista et Windows Server 2008.

En revanche, à l'heure actuelle, nul ne sait si elle permet par exemple, une intrusion plus poussée aboutissant à une prise de contrôle à distance des machines.

On ne sait pas non plus si le prochain patch de sécurité de Microsoft corrigera cet important défaut de conception.

Le Internet Storm Center prévoit que si cette faiblesse de Windows 7 perdure, les tentatives d'intrusion dans les réseaux internes se multiplieront, la faille permettant de faire planter massivement les terminaux qui les constituent.

Un retour vers le futur que conteste Microsoft :

Our investigation has shown that Windows Vista, Windows Server 2008 and Windows 7 RC are affected by this vulnerability. Windows 7 RTM, Windows Server 2008 R2, Windows XP and Windows 2000 are not affected by this vulnerability.

Source :

Le site de l'ISC

Le site du Microsoft Security Response Center

Lire aussi :

Microsoft ne patchera pas sa faille IIS/FTP dans sa prochaine mise à jour de sécurité

Et vous ?

Le retour de "l'écran bleu" vous rend-il nostalgique du passé ou vous fait-il peur pour le futur de Windows 7 ?

**replica** · 09/09/2009, 10h36

Il aurait été intéressant de mettre le réponse de microsoft concernant ce problème. Ca donnerait un côté moins orienté à l'article.

http://blogs.technet.com/msrc/archiv...-released.aspx

**keitaro_bzh** · 09/09/2009, 10h36

Les écrans bleus n'ont pas disparu avec 95... Ils sont présents même sur XP => genre quand les fichiers boot sont corrompus... Et n'oublions pas le master king of the blue screen of the death : Millenium Bug...

Bref, 7 n'est pas encore sortie et il ne le sera que dans un mois. Je pense que cette faille se verra corrigée rapidement (car si j'ai bien lu la news, elle touche également une version serveur donc...)

Bref, un écran bleu, ce n'est pas rare sur Windows (problème de pilote, fichier système défecteux, présentation de windows par bill gates!

).

Tant que cette faille ne fait que planter le PC et pas ouvrir une porte sur mes données, cela minimise l'impact le temps de la correction (sur un système pas encore dans les rayons)

**teddyalbina** · 09/09/2009, 10h51

Heu le problème ne vient pas des OS mais des pilotes qui gèrent ces protocoles.

**teddyalbina** · 09/09/2009, 10h53

Envoyé par replica

Il aurait été intéressant de mettre le réponse de microsoft concernant ce problème. Ca donnerait un côté moins orienté à l'article.

http://blogs.technet.com/msrc/archiv...-released.aspx

Tout à fait Win7 RTM n'est pas affecté ce qui veux donc dire que MS avait déjà trouvé la faille.

We’ve just released Microsoft released Security Advisory 975497 that provides information about a new, irresponsibly reported vulnerability in SMB 2.0. Our investigation has shown that Windows Vista, Windows Server 2008 and Windows 7 RC are affected by this vulnerability. Windows 7 RTM, Windows Server 2008 R2, Windows XP and Windows 2000 are not affected by this vulnerability.

**chemanel** · 09/09/2009, 10h56

Bonjour, j'aurais voulu savoir si ce type de faille / d'écran, existe aussi sous linux? Ou est ce qu'ils ont trouver une astuce pour empecher ce genre d'erreur. Et si elle existe, que ce passe t il ? L'OS plante aussi?

**Louis-Guillaume Morand** · 09/09/2009, 11h05

Envoyé par chemanel

Bonjour, j'aurais voulu savoir si ce type de faille / d'écran, existe aussi sous linux? Ou est ce qu'ils ont trouver une astuce pour empecher ce genre d'erreur. Et si elle existe, que ce passe t il ? L'OS plante aussi?

ca existe partout et pour tous les OS, linux, unix, mac. ca s'appelle généralement un kernel panic. et oui l'OS s'arrête. c'est simple, l'écran bleu n'est pas en lui-même un problème mais le système qui a détécté une erreur non corrigeable et se "coupe" pour se protéger de problèmes.

Maintenant, linux est par défaut, plus découplé que Windows et c'est pour cela qu'il est plus rare de faire crasher l'ensemble mais depuis 7 (et meme Vista), il est plus rare d'avoir un écran bleu sauf dans le cas d'un crash d'un pilote car bien souvent, sous windows ou linux, le problème vient de là

**teddyalbina** · 09/09/2009, 11h08

Envoyé par chemanel

Bonjour, j'aurais voulu savoir si ce type de faille / d'écran, existe aussi sous linux? Ou est ce qu'ils ont trouver une astuce pour empecher ce genre d'erreur. Et si elle existe, que ce passe t il ? L'OS plante aussi?

Oui sa existe aussi sous Linux sur tout les OS en fait. L'astuce bah y'en a pas la chose étant que les developpeurs ne peuvent penser à toutes les éventuallités et que bon même si il y a des outils de testes automatisés ils ne trouvent pas non plus 100% des failles. Pour le reste étant donnée que les pilotes incriminés sont des pilotes bas niveau bah une défaillance fait planter l'OS.

Mais bon toujours est-il que Windows 7 n'est pas concerné les developpeurs de MS ayant corrigé la faille durant dans la RTM.

Bref le problème n'existe pas en fait, MS va surement faire une update pour Vista c'est tout.

**teddyalbina** · 09/09/2009, 11h09

Envoyé par Louis-Guillaume Morand

ca existe partout et pour tous les OS, linux, unix, mac. ca s'appelle généralement un kernel panic. et oui l'OS s'arrête. c'est simple, l'écran bleu n'est pas en lui-même un problème mais le système qui a détécté une erreur non corrigeable et se "coupe" pour se protéger de problèmes.

Maintenant, linux est par défaut, plus découplé que Windows et c'est pour cela qu'il est plus rare de faire crasher l'ensemble mais depuis 7 (et meme Vista), il est plus rare d'avoir un écran bleu sauf dans le cas d'un crash d'un pilote car bien souvent, sous windows ou linux, le problème vient de là

Enfin surtout les pilotes bas niveau, parce que faire planter vista ou 7 avec un pilote en user faut y aller quand même le pire que j'ai vu c'est ista carrément désactiver le pilote

**nyal** · 09/09/2009, 11h14

Envoyé par chemanel

Bonjour, j'aurais voulu savoir si ce type de faille / d'écran, existe aussi sous linux? Ou est ce qu'ils ont trouver une astuce pour empecher ce genre d'erreur. Et si elle existe, que ce passe t il ? L'OS plante aussi?

Il existe aussi sous VMWare. Il a un nom très ressemblant : "PSOD" (Purple screen of death)

**Gordon Fowler** · 09/09/2009, 11h24

Envoyé par replica

Il aurait été intéressant de mettre le réponse de microsoft concernant ce problème. Ca donnerait un côté moins orienté à l'article.

Envoyé par teddyalbina

Tout à fait Win7 RTM n'est pas affecté ce qui veux donc dire que MS avait déjà trouvé la faille.

La contre-partie de cet article est un autre article que je viens de mettre en ligne : Des revendeurs mettent en doute la sécurité de Windows 7, réelles menaces ou coups marketing ?

Dire que Seven n'est pas touché, c'est encore autre chose.
Je ne fais que rapporter ce qu'affirme, encore aujourd'hui, l'ISC.

Et eux disent que la faille existe belle et bien.

D'où le deuxième article du jour : ces affirmations sont elles, dans une certaine mesure, des coups de pub ?

En tout état de cause, pour plus de clarté quant à mes intentions (à savoir ne pas être partisan dans un sens ou dans l'autre) je rajoute le lien vers la réponse de Microsoft.
L'idée me parait effectivement excellente

Cordialement,

Gordon

**Marco46** · 09/09/2009, 12h05

Envoyé par chemanel

Bonjour, j'aurais voulu savoir si ce type de faille / d'écran, existe aussi sous linux? Ou est ce qu'ils ont trouver une astuce pour empecher ce genre d'erreur. Et si elle existe, que ce passe t il ? L'OS plante aussi?

Pour compléter la réponse de L-G. Morand, il faut aussi savoir que sous Linux on peut recompiler le Kernel et en garder plusieurs dans /boot de manière à choisir sur quel noyau booter au démarrage. Les noyaux distribués par défaut par les distrib stable (même testing) sont d'une stabilité à toute épreuve ce qui permet de faire mumuse avec un noyau en essayant de l'alléger au maximum et d'en garder un que l'on sait stable pour booter dessus en cas de problème.

**Louis-Guillaume Morand** · 09/09/2009, 12h28

Envoyé par teddyalbina

Enfin surtout les pilotes bas niveau, parce que faire planter vista ou 7 avec un pilote en user faut y aller quand même le pire que j'ai vu c'est ista carrément désactiver le pilote

pas forcément bas niveau!
il existe depuis vista un nouvelle norme de driver (WHQL si je dis pas de betise), malheureusement, encore beaucoup trop de drivers ne suivent pas cette norme, notamment pour les produits sortis avant Vista (ma vieille logitech qui a dix ans par exemple

)

**zul** · 09/09/2009, 13h20

Mais bon toujours est-il que Windows 7 n'est pas concerné les developpeurs de MS ayant corrigé la faille durant dans la RTM.

Bref le problème n'existe pas en fait, MS va surement faire une update pour Vista c'est tout

J'ai ri

C'est sur que faire crasher à serveur à distance, ce n'est "rien", et que le bug n'est exploitable "que" pour deux releases (serveur 2008 et vista donc). Et le fait que le bug soit corrigé en RTM n'indique pas forcément qu'ils avaient connaissance du bug, ça peut très bien être un effet de bord (ou alors pourquoi ne l'ont il pas corrigé dans les autres systèmes ?). Monde parfait

**Neutral** · 10/09/2009, 01h22

Il en découle seulement un BSOD car celui qui a trouvé la faille n'a pas mesuré les possibilités qu'offrait l'erreur en question :

Il y a donc moyen d'en faire un remote code execution même si dans ce cas de figure la chose s'avère peu aisée.

**ruscov** · 10/09/2009, 10h43

Un fois par mois à peu près, Vista me fait un blue screen à cause de mon pilote nVidia. J'ai déjà mis à jour 2 fois mon pilote, désinstaller réinstaller,... rien à faire.

**Louis-Guillaume Morand** · 10/09/2009, 11h08

Envoyé par ruscov

Un fois par mois à peu près, Vista me fait un blue screen à cause de mon pilote nVidia. J'ai déjà mis à jour 2 fois mon pilote, désinstaller réinstaller,... rien à faire.

normal

c'est nvidia

plus sérieusement c'est bizarre car autant ils ont mis vachement de temps à sortir des drivers WHQL autant maintenant, ils sont censés être rôdés et plutôt stables (et c'est quelqu'un qui a horreur Nvidia qui parle

)

**ILP** · 10/09/2009, 11h18

Microsoft a sorti une mise à jour de sécurité pour le TCP/IP ces jours-ci :
http://www.microsoft.com/technet/sec.../MS09-048.mspx
Je pense qu'elle corrige ce problème là